короче проблема в слабой защите..
скрипт - бразуерная игра..
сайт - где то пол года назад пришлось закрыть, из за того, что несколько людей чуть ли не каждый день безпределили в игре..
после отключения решил переписать под регистр глобалс офф и повыставлял фильтрацию... сейчас хочется узнать уровень защищенности движка.. кто сможет помчь помогите пожалуйста, а то чел мне в аську в открытую писал что охотится за моей базой от скрипта.. если открою внешку думаю он начнет атаки.. а если неоткрывать то ... без внешки народу мало в игре.. прошу очень помочь.. вот ссылка на скрипт http://all3.ws очень надеюсь на вашу помошь
интересуют любые уязвимости..
сделал игровые сервисы относительно быстрее
всем проявившим активность буду очень признателен!! заранее спасибо

Раскрытие путей
http://all3.ws/instinkt/encicl.php?otdel=23
-----------
Сервер лагает жутко =\

В поле логина лучше фильтрация поставь, а то <script>alert()</script> фильтрует, а <script>qwe</script> нет... а вдруг что...

BlackSun, Tigger, во 1ых большое человеческое спасибо, за желание помогать
по делу:
Раскрытие путей
http://all3.ws/instinkt/encicl.php?otdel=23
-----------
Сервер лагает жутко =\
это исправил, к сожалению причиной этого стало то, что файл который инклудится содержал закодированный текст + антивирь его удалил.. поэтому файла небыло на месте.. раньше когда работала внешка - мне каждый день вешали на несколько файлов такие коды - там были фреймы на какие то левые сайты - в результате пользователи заражали компы при входе страницу с этим фреймом :( воть..

В поле логина лучше фильтрация поставь, а то <script>alert()</script> фильтрует, а <script>qwe</script> нет... а вдруг что...
у меня хтмл теги экранируются.. думаю это не страшно,

ребята, еще раз спасибо, кто еще может помогите, поучавствуйте в проверке. просто надоело держать проект в страхе что в любой момент челу взбредить рубануть все и он это сделает... ну или заразить компы :(
заранее спасибо, буду ждать еще сообщений

nastavnik.php, ambulance_t.php - ошибка в синтаксисе, как результат - раскрытие путей

nastavnik.php, ambulance_t.php - ошибка в синтаксисе, как результат - раскрытие путей
1ый файлик исправил, а 2ой чето у меня вроде неругается чтоб пути увидеть.. правда ненмого подглючивает..видимо все из за этого регистр глобалс офф.. т.к. скрипт немного косячит все же..

кто нибудь может поискать уязвимости типа - xss, sql-inj и тд?

BlackSun: не зачем апать топик по сто раз на дню, если ничего не пишут - значит пока ничего не найдено.

http://all3.ws/instinkt/log.txt
http://all3.ws/instinkt/phpinfo.php
http://all3.ws/instinkt/phpinfo.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000
еще в регистрации поля password,password2,deviz,city в этих полях xss
почисти
http://all3.ws//instinkt/inc/forum/
раскрытие путей
http://all3.ws/instinkt/i/work/?D=A
http://all3.ws/instinkt/skins/?D=A

http://all3.ws/instinkt/log.txt
http://all3.ws/instinkt/phpinfo.php
http://all3.ws/instinkt/phpinfo.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000
еще в регистрации поля password,password2,deviz,city в этих полях xss
почисти
http://all3.ws//instinkt/inc/forum/
раскрытие путей
http://all3.ws/instinkt/i/work/?D=A
http://all3.ws/instinkt/skins/?D=A
спасибо за участие в моем вопросе.. часть пофиксил..часть на завтра оставил..только один вопросик к тебе.. как найти хсс в этих полях что ты писал? там у меня вроде фильтры стоят на это все.. ? можешь дать код который покажет уязвимость?

как найти хсс в этих полях что ты писал? там у меня вроде фильтры стоят на это все.. ? можешь дать код который покажет уязвимость?
Во все поля - '>"><hr> и отправляй. Регистрация не пройдет, но скрипт вернет уже заполненную форму, часть полей будет заполнена без фильтрации.

Ребята, спасибо, вроде поправил это, поковыряете еще?

http://all3.ws/instinkt/backup/instinkt_tos_2009-03-09_23-57.sql.gz

http://all3.ws/instinkt/i/andr/
http://all3.ws/instinkt/i/chat/align/
http://all3.ws/instinkt/i/more/
http://all3.ws/instinkt/i/status/
http://all3.ws/instinkt/i/world/city/
http://all3.ws/instinkt/i/world1/backup/

Скрипт неполный?я завис там в какой то локации

http://all3.ws/instinkt/backup/instinkt_tos_2009-03-09_23-57.sql.gz

http://all3.ws/instinkt/i/andr/
http://all3.ws/instinkt/i/chat/align/
http://all3.ws/instinkt/i/more/
http://all3.ws/instinkt/i/status/
http://all3.ws/instinkt/i/world/city/
http://all3.ws/instinkt/i/world1/backup/

Скрипт неполный?я завис там в какой то локации
должен быть полный.. правда косяки я уже замечал.. если почитаешь посты выше..был один косяк.. отпишись лучше где именно повис..тогда я смогу сказать в чем дело

но скорее всего думаю это могла быть ошибка в результате перевода на регистр глобалс офф..
в принципе эти ошибки не столь важны.. и открытые папочки тоже.. я закину на папку i в хтаксессе правило чтоб нельзя было ничего из пхп скриптов запускать.. и залью во все папки index.html

сейчас просто главнее чтоб всяких иньекций и т д не было...

можете поковырять на эти дырки?


ps Theraphy можешь скинуть в личку, то как ты нарыл ссылку на дамп базы?:) заранее спасибо

Not Found
The requested URL /instinkt/tower_map/map.php was not found on this server.


Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
Apache/1.3.41 Server at all3.ws Port 80

Theraphy, обновил тебе локацию.. правда того файла нет.. так же нет похожего на него файлика - на локации "западные земли"

полазий пожалуйста еще, посмотри че найдешь из дырок

ап