[SQL Уязвимость] ****** сервера PROXOID

Доброго времени суток дорогие пользователи форума.
Производя анализы сайтов, находящихся в разделе Услуг и Продажи, обнаружили интересную пачку уязвимостей на ресурсе PROXOID.

Самое главное что было там обнаружено, это активная SQL инъекция.
С помощью которой, удалось получить список пользователей сайта и API ключи для получения ****** сервисов.
​

Скриншот Дампа

По ID юзеров, идут большие проскоки на мноих указана почта - no-reply@proxoid.net
С активной подпиской в 1-2 дня, скорее всего просто для вывода в статистику на главной странице (Там как раз указано 2.9к Ключей на момент написания статьи)

Фактически, по количеству указаных почт 250~ можно сделать вывод, что остальные созданы как заготовки для магазина (После покупки ключа просто заменялась почта на 1 из записей с no-reply@proxoid.net на вашу почту), ну так же судя по всему после того как подписка заканчивалась аккаунт удалялся вместе с записью в бд (Из за этого такие разлеты по ID)

Что мы имеем на выходе, Дамп Пользователей, Апи ключи этих пользователей, Подсети пользователей которые использовались для получения ****** по API.
То есть частично, мы раскрыли какую либо конфедациальную информацию пользователей которую они возможно не хотели бы где-то оглашать а именно email адрес, ну и в принципе доступ к подписке, но не думаю что она понадобится после таких проблем с сервисом.

Статья написана строго в информативных целях, и данные по самой уязвимости как и данные полученные в момент тестирования не попадают в публичный доступ.

Если вы являетесь владельцем ресурса и хотите получить информацию по месту где находится уязвимость, и советы как ее исправить, тогда обращайтесь в ЛС форума.

На этом у меня все, спасибо за прочтение статьи.
И советую использовать MagicProxy | Лучшие public ****** с автообновлением по низкой цене

Статья написана от команды MAGIC DEVELOPMENT
​