Просмотр полной версии : Проверьте самописную вап CMS
AngelOfFaith
30.05.2009, 14:42
Сайт: http://coder-lib.ru
Всё самописное. Связка php+mysql
Тестовый акк: test/test
--------
Тема актуальна. Движок полностю переписан
--------
Для стимула:
нашедшему XSS(пасивку)-100р, активную 200р. Скулю 300р, шел-500р, получить мой пас(ник: AngelOfFaith)-500р
f1rebl00d
30.05.2009, 21:42
у тя Guestbook упала, ошибка базы "</form>db error". Добавил пост, во всех полях кавычки всунул )
AngelOfFaith
30.05.2009, 23:17
спс за инфу, это из-за функции онлайн юзер или нет хоть кавычки и фильтруются но в запрос с бд попадают лишние символы вызывая збой, это проходило везде где была функция. Сейча уже устранил.
Adm1n4eG
31.05.2009, 15:32
вот... дальше копаться времени нет
http://coder-lib.ru/lib/index.php?act=s&id=403&onpage=10&page=3
http://coder-lib.ru/lib/index.php?act=s&id=403.txt&onpage=10&page=3
и гугл успел сохранить у себя страницу с раскрытыми путями ))
http://209.85.129.132/search?q=cache:BkhKkHM4Y98J:coder-lib.ru/news/index.php%3Fact%3Dkomm%26id%3D9+site:coder-lib.ru+warning&cd=4&hl=ru&ct=clnk&client=opera
AngelOfFaith
31.05.2009, 16:01
за раскрытие путей спс. А вот
http://coder-lib.ru/lib/index.php?act=s&id=403&onpage=10&page=3
http://coder-lib.ru/lib/index.php?act=s&id=403.txt&onpage=10&page=3
Это не ошибки а просто статья о скули, там всё фильтруется
Adm1n4eG
31.05.2009, 16:55
я знаю просто то что расширение подставляеш и все выполсяется я про инклуд думал...
AngelOfFaith
31.05.2009, 17:55
там можно с цифрами писать что угодно, переменная принимается так:
$id=(int)$_GET['id'];
da_vinche
01.06.2009, 22:07
При регистрации одинаковых мыл, выдает db error. Так и должно быть?
http://coder-lib.ru/chat/index.php?act=room'
Баг, сообщение в лс можно отправить не сущесвуещему юзеру.
AngelOfFaith
03.06.2009, 19:06
При регистрации одинаковых мыл, выдает db error. Так и должно быть?
да нет, выдаёт что такой email уже используется, можеш сказать при каком именно условии скрипт вернул ошибку?
Всё остальное поправил. Всем спс за указание на недочёты
AngelOfFaith
05.06.2009, 14:53
http://coder-lib.ru/style/
http://coder-lib.ru//img/
спс, прикрыл листинг
Тама это... ссылка на автовход не работает, ибо грит код не ввели =\
А если убрать код, то нах он вобще нужен тогда, в общем уберай ссыль
Ну и как обычно, каптча не обновляется, пробуй входить под одной каптчей скоко хош
Уберай её из сессии после того как юзер ввёл логин и пасс
ОМГ, ТС, я тебе плюсов 25 наставил =\ Ограничений вобще нет =\
Всё, 100 плюсов наставил, больше искать небуду ибо время нет, мну убежал
AngelOfFaith
08.06.2009, 09:51
спс, это будет исправлено с следующим обновлением
BlackSun
09.06.2009, 19:24
А теперь все дружно идем и читаем правила раздела. За оффтоп буду ставить минусы, надоели.
AngelOfFaith
12.07.2009, 18:19
Тема актуальна. Движок полностю переписан
imajo.ati
14.07.2009, 20:37
пассивная XSS через POST метод
страница http://coder-lib.ru/tools/index.php
параметр text значение PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4=
параметр act значение base64decode
AngelOfFaith
14.07.2009, 21:43
пассивная XSS через POST метод
страница http://coder-lib.ru/tools/index.php
параметр text значение PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4=
параметр act значение base64decode
Есть такое. Пиши кошель
vBulletin® v3.8.14, Copyright ©2000-2026, vBulletin Solutions, Inc. Перевод: zCarot