G-tickets SQL Injection

Basicamente a vulnerabilidade é um SQL Injection que se encontra no sistema G tickets, desenvolvido pela adaltech.

alt

"O QUE É O G-TICKET? G-Ticket é uma plataforma online inovadora e completa, que permite gerenciar e executar todos os processos de venda e validação de ingressos, seja nos pontos de venda, loja virtual, facebook, mobile ou bilheteria, sendo customizada com sua logomarca para que tenha seu próprio negócio e faça sua marca aparecer e crescer.'"
Fonte : gticket.com.br

Proof of Concept

localhost/[PATH]/mobile-loja/mensagem.asp?msgid=0&msgstr=Venda%20on-line%20encerrada.%20Adquira%20seu%20ingresso%20nos%20pontos%20oficiais%20ou%20na%20bilheteria%20do%20evento.&eve_cod=[SQL]

alt

Falha Reportada 08/28/2017
Resposta 09/28/2017
Correção ?? (ate a presente data a falha ainda não foi fixada)
Postagem 01/22/2018

Agradecimentos

Ring0

Marcos Abreu

Read more posts by this author.

São Paulo

Subscribe to InsightL4b - Security Research Lab

Get the latest posts delivered right to your inbox.

or subscribe via RSS with Feedly!