Nơi cấp : Aardvarkind
URL : http://www.aardvarkind.com/
Phiên bản : Aardvark Topsites PHP 4.1.0
Lỗi 1 : Password database được lưu dưới dạng
Plaintext , thông tin về database được lưu dưới dạng Plaintext , bất cứ ai
cũng có thể view được ,từ đó giúp Hacker access được vào Control Panel và nắm
quyền website .
Lỗi 2 : Thông tin về máy chủ bị tiết lộ do mặc
định của phpinfo() Trong Aadvard Topsite : http://topsites/sources/info.php
Ví dụ : http://www.theglobaldatingnetwork.com/topsitesphp/sources/info.php
Lỗi 3 : Đường dẫn bị tiết lộ :
http://topsites/sources/info.php ví dụ :
http://www.theglobaldatingnetwork.com/topsitesphp/sources/info.php
Lỗi 4 : SQL Injection : Hacker có thể can thiệp
vào các lệnh truy vấn SQL thông qua biến "method" trong file display.php :
http://topsitelocation/index.php?method=`
http://www.theglobaldatingnetwork.com/topsitesphp/index.php?method='
http://www.theglobaldatingnetwork.com/topsitesphp/index.php?method=`
input validated/sanitized :
http://topsitelocation/index.php?a=lostpw&set=1&id=`
http://topsitelocation/index.php?a=lostpw&set=1&session_id=`
Giải pháp : đơn giản nhất nếu ai không biết nhiều
về code : http://www.aardvarkind.com/index.php?page=downloads