ClickMania 0DAY SQL Injection

Basicamente a vulnerabilidade é um Blind SQL Injection que se encontra no sistema de lojas virtuais, desenvolvido pela ClickMania.

Proof of Concept

localhost/patch/remote.php?w=recomendar&id=BlindSQL

Curiosidade

Algo que me chamou bastante atenção no sistema desenvolvido pela click mania foi seus painéis administrativos usarem um token salvo no banco de dados para efetuar o login assim facilitando ao atacante efetuar o login mesmo sem descriptografar a hash

Falha Reportada 02/20/2017

Postagem 02/24/2018

Marcos Abreu

Read more posts by this author.

São Paulo

Subscribe to InsightL4b - Security Research Lab

Get the latest posts delivered right to your inbox.

or subscribe via RSS with Feedly!