Прошу помоч в проверке моего сайта kuchaknig.ru
Cайт самописный, кнопка античата слева внизу.

Всем откликнувшимся, уважение и поклон :)

Заранее спасибо.

XSS
/?>"'><script>alert('XSSKA')</script>

Спасибо , message box c алертом не выскочил.

nonamez , скажи пожалуйста как получил это ?

box4dod
Выскочит, но смотря какой браузер, в Опере работает 100%, в фаере или IE 8 будет блокировать, но тоже смотря какая версия, но уязвимость больше не из-за движка, а из-за настройки Апача и ПХП

/catalog.php?>"'><ScRiPt>alert(12345)</ScRiPt> - или так

Еще фиксация сессии есть PHPSESSID
http://framework.zend.com/manual/ru/zend.session.globalsessionmanagement.html
Короче надо нормально настроить хостинг

http://kuchaknig.ru/catalog.php?action=by_letter_avtor&letter=<script>alert</script>

тут

Огромное спасибо всем кто помогает , завтра поправлю найденое. Может кто то блеснет более серьёзной вещью ?

Active XSS
Дневник пользователя > Добавить запись
Уязвимы поля "Настроение:" и "Под музыку:"
Пример: http://kuchaknig.ru/user_show_page.php?user=11&action=dnevnik&selected_id=10&find_page=1

Маленький хинтик:) в чате нельзя менять ник ...отключаем обновление страницы,редактируем в коде страницы ник на любой желаемый и пишим сообщение

http://kuchaknig.ru/includes/center/index.php?'
скажем так...информативно довольно таки

Очень признателен , всем кто помогал найти баги.
на данный момент из вышеперечисленного все баги исправлены , надюсь что вы предпримите дополнительные попытки по выявлению уязвимостей.

Ещё раз всем спасибо!

Неужели больше багов нет? может небольшой призовой фонд организовать ?

У меня, к примеру, сессия .. имхо еще что нибудь найдется, надо только подождать :)

Не отступать и не сдаваться :)
и так на сайте появились новые функции такие как RSS трансляции каждого дневника, возможность сборки RSS леты из нескольких лент. Добавлены интересы, поиск по интересам и другие мелочи. Благодарю всех кто искал и будет искать , баги, дыры.