[LEAK] SQLi - Rosalife PHP Script - Education Only

  • Da der ein oder andere keine Ahnung hat von PHP, hier einmal ein Leak und Denkanstoß an Leute die Scripts von unbekannten Quellen verwenden.


    Login.php

    Query = Unescaped

    Username und Password sollten mit htmlspecialchars(); gesäubert werden

    MySQL sollte mit PDO Treiber betrieben werden.


    Warum mache ich die Lücke public?

    Weil viele das Script verwenden und alle wo ich das getestet habe haben es nicht gefixxt. Hoffe jetzt fixxen die Leute es.


    Blind Sql Injection

    Beispiel : https://domain.com/login.php?submit&account=1'

  • Okay? Cool

    Willst du jetzt einen Keks oder so?


    100.gif?cid=20e14a2aqlwu2wl4vwigrhgra6qwy5ugizow0xb365n8s8zu&rid=100.gif&ct=g

    Danke :D Nein, das ist rein informativ. Damit die Leute es fixxen können. Sonst nix.


    Und ja, Seegras weis von der SQLi und hat das bei Kevin schon lange gefixxt hab dem das als erstes gesagt. Also wenn ihr noch Kopien von dem Panel habt diese sind alle voller Lücken.