이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다.
A3 - SQLiteManager XSS
xss_sqlitemanager.php 페이지를 살펴보면 SQLiteManager 버전은 크로스 사이트 스크립팅에 취약하다는 메시지와 힌트로는 CVE-2012-5105를 표시하고 있습니다.
CVE를 살펴 보면 2012년도에 나온 취약점 인걸 알 수 있고, 설명을 보면 SQLiteManager 1.2.4의 다중 사이트 간 스크립팅(XSS) 취약점으로 인해 원격 공격자가 dbsel 매개변수를 통해 (1) main.php 또는 (2) index.php에 임의의 웹 스크립트 또는 HTML을 삽입할 수 있습니다. 또는 (3) index.php에 대한 nsextt 매개변수.라고 나와 있습니다.
즉 SQLiteManager 1.2.4 버전에서 main.php, index.php 에서 dbsel, nsextt 변수를 사용한다는 것을 추측 할수 있습니다.
취약한 SQLiteManager 페이지에서 새트리거 속성에서 스크립트 문을 입력해 보도록 하겠습니다.
CVE-2012-5105 취약점에 대한 익스플로잇 DB 보고
SQLiteManager는 동적으로 생성된 콘텐츠에서 사용하기 전에 사용자가 제공한 입력을 적절하게 삭제하지 못하기 때문에 여러 사이트 간 스크립팅 취약점이 발생하기 쉽습니다.
공격자는 이러한 문제를 활용하여 영향을 받는 사이트의 콘텍스트에서 의심하지 않는 사용자의 브라우저에서 임의의 스크립트 코드를 실행할 수 있습니다. 이를 통해 공격자는 쿠키 기반 인증 자격 증명을 훔치고 다른 공격을 시작할 수 있습니다.
SQLiteManager 1.2.4는 취약합니다. 다른 버전도 영향을 받을 수 있습니다.
현재까지도 취약한 버전을 사용하는 SQLiteManager가 노출 중인 것을 확인할 수 있었습니다.
SQLiteManager 설명