SQL Injection mit ?id= & XSS

Hallöle,
ich teste gerade für jemanden seine Seite, ob sie Schwachstellen besitzt, und dabei sind mir sehr komische Sachen aufgefallen.
Erstmal habe ich ein Suchfeld geprüft ob es XSS anfällig ist, da sind sehr komische Sachen rausgekommen
Wenn ich etwas wie <Hallo> eingegeben habe, zeigt er garnicht an was ich gesucht habe.
Aber wenn ich nach <Hallo> h suche sagt er das ich nach h gesucht hab, also er zensiert alles zwischen den <> weg, auch im Quelltext ist es nicht zu finden.
(Ist übrigens CMS Contenido 4.8, hab dem Admin gesagt er soll Updaten, wird das alleine reichen?)
Dann hab ich noch per Google massig Seiten mit ?id= gefunden, das ist aber ebenfalls sehr komisch.
also es ist dann so: 404 Not Found
Da sagt er "Can not find data record in database table course." aber das passt auch ins Design, und es wird auf ein Hilfe Artikel verwiesen, also nach SQL Error ala Rot angemarkert und Cryptisch dagestellt ist das nicht.
Wenn ich hinter die 2 ein ' mache sagt er genau das gleiche, also auch ohne '

Ist die Seite jetzt anfällig für ne Injection oder nicht? Ich verstehs grad nicht ganz :D

Danke für Antworten :)
 
Ist die Seite jetzt anfällig für ne Injection oder nicht?

Jo sieht so aus, wenn du weist welches CMS das ist, dann lade es runter und schau dir betreffende Codezeile an was da gemacht wird (bzw. was nicht)

btw:// einfach so Seiten auf Injectionen zutesten würde ich sein lassen, kann schnell teuer werden falls du wirklich was findest und das CMS abschießt damit.
 
Zurück
Oben