PDA

Просмотр полной версии : http://light-engine.ru/beta/

AtomoS
23.02.2010, 04:32
Привет всем!) Давненько начал писать веб-обвязку для сервера игры LineAge2. Пару раз выкладывал свою работу в шару.

Теперь прощу вас проверить мой самописный продукт на безопасность.

Данные для доступа:
http://light-engine.ru/beta/?page=admin [login: antichat, pass: antichat]
http://light-engine.ru/beta/?page=account [login: antichat, pass: antichat] & [login: admin, pass: admin] & [login: atomos, pass: atomos]

Так-же ищу человека кот. поможет мне максимально обезопасить мой бесплатный продукт..

В конце проверки и откладки заащиты я выдвину эту версию в шару))
ZARO
24.02.2010, 18:34
Раскрытие путей - http://light-engine.ru/beta/?page[]=news

Warning: basename() expects parameter 1 to be string, array given in /[не выкладываем пути]/beta/index.php on line 35
wkar
24.02.2010, 20:28
xss в поле название
m0Hze
25.02.2010, 10:48
http://light-engine.ru/beta/?page=registration
POST:
account[]=09645&password[]=90456&password2[]=90456&submit=



http://light-engine.ru/beta/?page=account&act=chcolor
POST:
new_color[]=&char=TipTop

И так далее в ЛК почти с каждой формой.Лень все копировать сюда.
ZARO
25.02.2010, 16:33
исправил ошибки от: ZARO и m0Hze
конфиги в порядке)

Хм... http://light-engine.ru/beta/?page[]=news - до сих пор выдаёт ошибку....
Еще скуля - http://light-engine.ru/beta/?page=account ведии в логин и пасс по ковычке
AtomoS
09.03.2010, 15:52
мистер [nick: BoB4uK, ip: 62.140.253.6] хватит гадить в конфигах.. вы не открыли америку и не вздлмали этот мир..
BlackSun
10.03.2010, 11:02
Обход авторизации:
http://light-engine.ru/beta/?page=/admin&act=config

index.php
if ($_GET ['page'] == 'admin') { include_once ("data/protection.inc.php"); };
Это крайне тупо, data/protection.inc.php надо подключать в любом случае в самом page/admin.php
AtomoS
11.03.2010, 00:26
хоть убей:
Warning: Cannot modify header information - headers already sent by (output started at header.inc.php:18) in data\protection.inc.php on line 12

Warning: Cannot modify header information - headers already sent by (output started at header.inc.php:18) in data\protection.inc.php on line 13
AtomoS
11.03.2010, 09:41
нужно узнать как провести sql-inj через админку
AtomoS
18.03.2010, 13:14
народ нужно просмотреть содержимое файла data/config.inc.php
можно ли через админку сделать??
nupaT
21.03.2010, 00:18
xss При создании новости с текстом
[IMG]"><script>alert(/xss/)</script>[IMG]