SQL Injection w Advanced Guestbook 2.2

Znana webaplikacja Advanced Guestbook 2.2 oparta o PHP i MySQL jest podatna na atak typu SQL Injection. Wykorzystanie luki umożliwia uzyskanie uprawnień administratora. Atak jest niezwykle prosty w panelu logowania wpisujemy jako hasło podany niżej string a nazwę użytkownika pozostawiamy pustą.

String podany w miejscu hasła administratora: ‚) OR (‚a’ = ‚a

Przykład:

http://totalwebdesigns.com/guestbook/admin.php

Źródło informacji: SecurityFocus.