Как стать автором
Обновить

Кто первый сломает ITQuiz 2.0?

Чулан
Тыкнув в поиск одну кавычку на сабже, обнаружил весьма приятное сообщение: Server Error in '/' Application. Unclosed quotation mark after the character string ''.

Далее: вводим любое ключевое слово SQL, например, OR — о, чудо! Опять ошибка, но уже другая: Server Error in '/' Application. Incorrect syntax near the keyword 'OR'.

Т.е. получается, что строку поиска никто не эскейпит. Что мы из этого получаем? ;-)

Ссылка на уязвимую страницу тут
Теги:
Хабы:
Всего голосов 19: ↑15 и ↓4 +11
Просмотры 508
Комментарии Комментарии 18