Плачу за поиск уязвимостей в этом движке http://ccsis.com/

от 30 до 500$ за уязвимость.

Подробности и условия здесь: http://ccsis.com/topic9.htm

Если есть вопросы, задавайте тут или там.

ONK

http://ccsis.com/index.php?action="><script>alert('lol');</script>


XSS, то есть не есть хорошо....

http://ccsis.com/index.php?sn="><script>alert(/censored!/)</script>

Разыне ошибки. Почему?
http://ccsis.com/index.php?action=5
You cannot access to module with id = 5.

http://ccsis.com/index.php?action=5-1
Module with id = 5 is not found.



Градация уязвимостей по их стоимости:
SQL injection в ядре системы (пака core) - 500$
PHP Script injection - 400$
SQL injection в общедоступных модулях-300$
SQL injection в админцентре системы-200$
XSS-50$
Внедрение Js в html код сообщения (при разрешённом html коде) - 80$
Ошибки распределения прав (чат, форум, админцентр) - 30 - 50$ / за ошибку*

Мы с InferNo23 заработали по 50 уе? =)

Считаю что расценки вам надо пересмотреть. А то 1000 быстро закончатся =)

Вот когда создаешь новую тему в форуме...:

Array
(
[0] => Array
(
[file] => /home/ccsis.com/htdocs/inc/mysql.php
[line] => 136
[function] => ccsis_error
)

[1] => Array
(
[file] => /home/ccsis.com/htdocs/inc/mysql.php
[line] => 147
[function] => query
[class] => db_mysql
[type] => ->
[args] => Array
(
[0] => Duplicate entry '11-0' for key 1
INSERT INTO `ccsis_tu_favor` (topic_id,user_id,date)VALUES('11','0','1160062370 ')
[1] => 2
)

)

[2] => Array
(
[file] => /home/ccsis.com/htdocs/inc/local9.lib.php
[line] => 588
[function] => safe_query
[class] => db_mysql
[type] => ->
[args] => Array
(
[0] => INSERT INTO `ccsis_tu_favor` (topic_id,user_id,date)VALUES('11','0','1160062370 ')
)

)

[3] => Array
(
[file] => /home/ccsis.com/htdocs/inc/modules/add_content.mod.php
[line] => 384
[function] => add_topic_in_forum
)

[4] => Array
(
[file] => /home/ccsis.com/htdocs/inc/core/global.lib.php
[line] => 1016
[function] => create_topic
[args] => Array
(
[0] => INSERT INTO `ccsis_tu_favor` (topic_id,user_id,date)VALUES('%1$d','%2$d','%3$d' )
[1] => 11
[2] => 0
[3] => 1160062370
)

)

[5] => Array
(
[file] => /home/ccsis.com/htdocs/inc/core/global.lib.php
[line] => 1164
[function] => exec_node
[class] => ccsis
[type] => ::
[args] => Array
(
[0] => 0
[1] => InferNo23
[2] => 8
[3] => 0
[4] => http://ccsis.com/index.php?action=">alert('lol');

Âîò XSS...
[5] => XSS
[6] => 0
)

)

[6] => Array
(
[file] => /home/ccsis.com/htdocs/index.php
[line] => 45
[function] => execute
[class] => ccsis
[type] => ::
[args] => Array
(
)

)

)
[15:32:50] Duplicate entry '11-0' for key 1 INSERT INTO `ccsis_tu_favor` (topic_id,user_id,date)VALUES('11','0','1160062370 ')

Случайно заметил орф. ошибку:
Ошибка: Введённый вами адрс эектронной почты имеет неверный формат.

Активная XSS:
http://ccsis.com/index.php?action=159
Что ищем? -> <script>alert(/censored!/)</script>
Жмем поиск. Ничего не найдено.
Теперь опять заходим на страницу с поиском. Код попал на страницу в "Последние поисковые запросы."
p.s. щас по http://ccsis.com/index.php?action=159 повесил редирект на эту тему.

http://ccsis.com/index.php?action=user_mail&uid=ONK
Всего лишь подозрение (не проверял)
Собрать с форума имена пользователей не проблема.
А потом уже можно скриптом заспамить ящики пользователей или таким образом делать спам-рассылку.

Вообщем - пересматривайте расценки =)

Дальше смотреть и копать смысла нету. Там все сырое.

InferNo23, напишите темку в SECURITY BUGS, думаю, что 50$ вы заработали.

censored!, ошибки разные из-за того, что строки и числа в идентификаторе модуля обрабатываются по разному, т.е. ошибки возникают на разных этапах.

Поправлю...

Вот когда создаешь новую тему в форуме...:

InferNo23, Спасибо за баг, такого там много т.к. это первая бэта. Поправлю.

Мне все-равно из-за чего ошибки. Увидел - сообщил.

А с активной Xss что? Оплачивается? =)
p.s. там уже кто-то после меня алерт с Тестом воткнул =)

Так...
http://ccsis.com/index.php?action=160&search_id="><script>alert('test')</script>

http://ccsis.com/index.php?action=160&search_id="><script>alert('test')</script>
Вот кто и воткнул =)

censored!, читаем условия оплаты, выполняем...
Окончательное решение принимается после устранения уязвимости (когда будет понятно, что причина уязвимости не была оплачена ранее). На первый взгляд, оплачивается.

Случайно заметил орф. ошибку:
1 Ошибка: Введённый вами адрс эектронной почты имеет неверный формат.

2. http://ccsis.com/index.php?action=user_mail&uid=ONK
Всего лишь подозрение (не проверял)
Собрать с форума имена пользователей не проблема.
А потом уже можно скриптом заспамить ящики пользователей или таким образом делать спам-рассылку.

3. Вообщем - пересматривайте расценки =)

4. Дальше смотреть и копать смысла нету. Там все сырое.

1. Забавный набор ошибок, в принципе, похоже на меня -) откуда это?, не могу найти у себя такой фразы.

2. Там есть защита одноразовым ключом формы с ограниченным сроком действия и привязкой к сессии + возможность защиты картинкой.

3. Пока не вижу причин для паники -).

4. Вам виднее...

1. Забавный набор ошибок, в принципе, похоже на меня -) откуда это?, не могу найти у себя такой фразы.
http://82.146.43.254/index.php?action=207
Вводим кривой мыл.

Судя по нереальным ценам за найденую уязвимость (50 уе за XSS (пассивную) - это очень много). Не получиться ли так - что будет сообщено что такая уязвимость была оплачена ранее?

Окончательное решение принимается после устранения уязвимости (когда будет понятно, что причина уязвимости не была оплачена ранее).
Ну, если, оплата после устранения уязвимости, и уязвимость была найдена - то выходит что она не была устранена и, соответствено, не была найдена ранее и оплачена?

И как узнать - будет оплачена или нет? И как сообщить куда переводить?

Так что вопросов очень много. Или это так - типа кидок такой?
Тогда зря. Можно было:
(а) - попросить все сделать бесплатно.
(б) (если не кидалово) - заказать проверку сайта оффициально Античату (связь через Algola, Егорыча, ЧеГевару).

3. Пока не вижу причин для паники -).
Если не копалось глубоко и сходу находятся XSS - в большинстве случаев - сырец и всплывет еще что-нить серъезное.

в одном ряду с ващими моя конечно не стоит, но всеже

кнопка перехода на английский язык, написано "EП"

когда хочешь заригестрироваться и вводишь неправельные данные, он показывает что ты неправельно сделал и секунд через 5 делает редирект на стартовую, надо это врему увеличить.


пусть и критика, но я не претендую на деньги.

Это уже не уязвимости а критика, он же сказал что движок еше бета...

http://ccsis.com/index.php?action=user_info&uid="><script>alert(/xss/)</script>

Тогда тоже по сайту:
"Не активизировать режим автоматической авторизации []"
По юзабилити не надо ничего придумывать нового если это уже есть и давно обкатано.
Надо делать так - к чему пользователь уже привык.
Лучше эту фразу (которую я понял с третьего раза) заменить на:
"Запомнить меня на этом компьютере" и саму ее подправить:
если галка не стоит - то не запоминать, если ставят - то запомнить. Вообщем сделать так - как на Форумах и к чему посетители уже привыкли. А то навигация по сайту будет ой как затруднительна.

http://ccsis.com/index.php?action=user_info&uid=ONK<script>alert()</script>

Onk - написал в личку.

На сайте был получен полноценный веб шелл


06-10-2006 03:42:31 [ phpinfo ] [ php.ini ] [ cpu ] [ mem ] [ users ] [ tmp ] [ delete ]
safe_mode: OFF PHP version: 4.3.10 cURL: OFF MySQL: ON MSSQL: OFF PostgreSQL: OFF Oracle: OFF
Disable functions : NONE
HDD Free : 246.3 MB HDD Total : 400 MB
На сервере установлены: wget, fetch, curl, lynx, tar, gcc, perl, php, make

FreeBSD ccsis.com 4.11-STABLE FreeBSD 4.11-STABLE #0: Thu May 4 08:33:57 CEST 2006 root@builder.ispsystem.net:/root
-

Apache/1.3.37 (Unix) PHP/4.3.10 mod_ssl/2.8.28 OpenSSL/0.9.7d-p1

ну кому нибудь хоть заплатили?

+toxa+

Вот это я понимаю проверка! :D

ну кому нибудь хоть заплатили?
Вот и проверим. Заплатит или нет.
А если развод - то смотри пост +toxa+ выше...

=)))))

Так...
http://ccsis.com/index.php?action=160&search_id="><script>alert('test')</script>


Если вы напишите в SECURITY BUGS описание этой уязвимости я её признаю. В соответствии с дополнением в условиях поиска уязвимостей это будет стоить 25$

1. http://82.146.43.254/index.php?action=207
Вводим кривой мыл.

2. Судя по нереальным ценам за найденую уязвимость (50 уе за XSS (пассивную) - это очень много). Не получиться ли так - что будет сообщено что такая уязвимость была оплачена ранее?


3. Ну, если, оплата после устранения уязвимости, и уязвимость была найдена - то выходит что она не была устранена и, соответствено, не была найдена ранее и оплачена?

4. И как узнать - будет оплачена или нет? И как сообщить куда переводить?

5. Так что вопросов очень много. Или это так - типа кидок такой?
Тогда зря. Можно было:
(а) - попросить все сделать бесплатно.
(б) (если не кидалово) - заказать проверку сайта оффициально Античату (связь через Algola, Егорыча, ЧеГевару).


6. Если не копалось глубоко и сходу находятся XSS - в большинстве случаев - сырец и всплывет еще что-нить серъезное.

1. Понятно, это модуль сайта, там независимый многоязыковой интерфейс. Нашёл эту фразу.

2. Я прислушался к вашему мнению и дополнил описание правил поиска уязвимостей. Пассивная XSS теперь стоит 25$. -) Но InferNo23 получит 50 как и оговаривалось.

3. Всё просто, одна ошибка в алгоритме обработки данных может проявляться несколькими способами. Я устраняю ошибки в последовательности создания тем в форуме SECURITY BUGS. Если я устраню причину раньше, чем дойду до темы с другим проявлением этой ошибки, оплачена будет лишь первая тема (наиболее старая по дате создания).

4. Надо создать описание уязвимости в форуме SECURITY BUGS, в соответствии с условиями поиска уязвимостей. Созданная вами тема будет доступна только мне до момента устранения уязвимости. Когда я устраню уязвимость, я открою тему для всеобщего доступа и напишу своё решение, причину уязвимости и дальнейшие инструкции.

5. Мне нужен максимально широкий security audit максимальным количеством грамотных спецов. Это полнее, надёжнее, быстрее и качественнее чем другие известные мне варианты. Бесплатно я сам не работаю и не имею привычки просить это делать других.

6. А для чего по вашему я создал эту тему? Ваш форум был первым, где я разместил своё предложение и у вас наиболее предпочтительные шансы собрать большую часть бюджета тестирования.

Я сам далеко не ламер, но найти баги в своём проекте который имеет куски кода 4 летней давности не реально. Глаз привыкает к тому, что есть и просто не замечает.

в одном ряду с ващими моя конечно не стоит, но всеже

1. кнопка перехода на английский язык, написано "EП"


2. когда хочешь заригестрироваться и вводишь неправельные данные, он показывает что ты неправельно сделал и секунд через 5 делает редирект на стартовую, надо это врему увеличить.


пусть и критика, но я не претендую на деньги.

1. Это не ко мне, это к дизайнеру, я не знаю по каким причинам он так сделал. (brovkin.ru) Меня не напрягает, может потом исправлю.

2. Этими мелочами займусь когда ничего другого не останется.

http://ccsis.com/index.php?action=user_info&uid="><script>alert(/xss/)</script>

Причина устранена ранее:

http://ccsis.com/index.php?action=topic_page&mid=6#m6

найти баги в своём проекте который имеет куски кода 4 летней давности не реально. Глаз привыкает к тому, что есть и просто не замечает.
Это да...

Тестим дальше.

Тогда тоже по сайту:
"Не активизировать режим автоматической авторизации []"
По юзабилити не надо ничего придумывать нового если это уже есть и давно обкатано.
Надо делать так - к чему пользователь уже привык.
Лучше эту фразу (которую я понял с третьего раза) заменить на:
"Запомнить меня на этом компьютере" и саму ее подправить:
если галка не стоит - то не запоминать, если ставят - то запомнить. Вообщем сделать так - как на Форумах и к чему посетители уже привыкли. А то навигация по сайту будет ой как затруднительна.
Не вижу смысла копировать не удачные вещи.

Если у пользователя в личном конфиге отмечено всегда использовать режим автоматической авторизации (что используют 95% пользователей), то зачем его об этом дополнительно спрашивать? Другое дело, если пользователь решил зайти с чужого компьютера, вот тут он может однократно отменить режим автоматической авторизации.
Человек привыкает к тому, что имеет...

http://ccsis.com/index.php?action=user_info&uid=ONK<script>alert()</script>

Причина устранена ранее:

http://ccsis.com/index.php?action=topic_page&mid=6#m6

Onk - написал в личку.

Для дальнейших пояснений процитирую часть вашего ПМ


Доброй ночи.
Малая часть проверок вашего сайта уже приносит свои плоды, к сожалению не в Вашу сторону img/1.gif

Только что нашел PHP ошибку в папке core, там вызвал ошибку модуль global3.lib.php. Случается это если в окне входа в аккаунт подставить как логин ' or 1=1 ', а пароль любой символьный, или все наоборот, пароль - ' or 1=1 ', логин любой.

Вот код ошибки - "Fatal error: Call to undefined function: okonchanie() in /home/ccsis.com/htdocs/inc/core/global3.lib.php on line 11"
Как я полагаю, эта ошибка подлежит оплате .....


Вы наткнулись на обычный баг связанный с изменением имени API процедур.
При одном из рефакторингов большинство основных функций API ядра были вынесены в отдельное пространство имён в виде абстрактного класса CCSIS. Часть из них получила более подходящие имена.
Процедура okonchanie была переименована в postfix.

Т.к. выявленный вам баг не является уязвимостью, в соответствии с условиями поиска уязвимостей выражаю вам невыразимую (в денежном эквиваленте) большую благодарность. -)

Попробуйте поискать ещё, может повезёт.

Не вижу смысла копировать не удачные вещи
Это, на самом деле, удачное решение. Но тут на вкус и цвет колбаса разная.
...
Вопрос - зачем тянуть кнопку "Смотреть свои права"? Не проще ли ее внести в "личный конфиг"?
Ведь, как правило, тем чем редко пользуются - убирают с глаз, чем чаще - или выносится на видное место или группируется в каком-нить разделе.
Но с этим понятно: 1. Это не ко мне, это к дизайнеру, я не знаю по каким причинам он так сделал. (brovkin.ru) Меня не напрягает, может потом исправлю.
Так что это больше не трогаем.

Чтение не модерированных сообщений через дерево :)

На сайте был получен полноценный веб шелл


06-10-2006 03:42:31 [ phpinfo ] [ php.ini ] [ cpu ] [ mem ] [ users ] [ tmp ] [ delete ]
safe_mode: OFF PHP version: 4.3.10 cURL: OFF MySQL: ON MSSQL: OFF PostgreSQL: OFF Oracle: OFF
Disable functions : NONE
HDD Free : 246.3 MB HDD Total : 400 MB
На сервере установлены: wget, fetch, curl, lynx, tar, gcc, perl, php, make

FreeBSD ccsis.com 4.11-STABLE FreeBSD 4.11-STABLE #0: Thu May 4 08:33:57 CEST 2006 root@builder.ispsystem.net:/root
-

Apache/1.3.37 (Unix) PHP/4.3.10 mod_ssl/2.8.28 OpenSSL/0.9.7d-p1


Я ещё не смотрел ваше сообщение, но думаю, что знаю в чём дело. Не надо было оставлять полноценные инструменты управления модулями в демо версиях.
Хотя вообще странно, apach на домене demo.ccsis.com пускает процессы через suexec с правами пользователя demo. Надо разбираться где я лажанулся.
Похоже вы заработали 500$

Пока отключил модуль демо версий, включу, когда заткну эту дыру.

Тоха молодца ;)))

Отец =)

Ммм..FreeBSD 4.11 - под нее эксплоит есть ;)

интересно выплата будет или нет?

Чтение не модерированных сообщений через дерево :)

Пишите в соответсвующий форум, а то вас кто нибудь опередит.

Пусть опережают, для меня это только fun.

Ммм..FreeBSD 4.11 - под нее эксплоит есть ;)


А вот с этого места по подробнее? :). Или в ПМ :)

А вот с этого места по подробнее? . Или в ПМ

4 ветка старая,эксплоитов к ней было не мало.На любом сек портале вроде security.nnov.ru или securitylab.ru по запросу FreeBSD найдутся сплоиты под это ядро.

Поправьте если ошибаюсь

gemaglabin

Подправляю :).
Самое значительно, что есть под фряху, - это FreeBSD master.passwd disclosure exploit.
Во всяком случае в паблике :)
Ядерных сплоитов, пока никто не выкладывал. Я думал, ты подправишь эту обстановку ;)

Ммм..FreeBSD 4.11 - под нее эксплоит есть ;)


Это мало вероятно, за появлением новых эксплойтов следят и всё вовремя патчат без моего вмешательства.

пс, нашёл в одной из персональных демоверсий файл sm7hcdkh2e.jpg с забавным содержимым. Только его не совсем правильно настроили. +toxa+, на сколько я понимаю это ваше имущество? -:) Вобщем PHP Script injection подтвердился.

пс, нашёл в одной из персональных демоверсий файл sm7hcdkh2e.jpg с забавным содержимым. Только его не совсем правильно настроили. +toxa+, на сколько я понимаю это ваше имущество? -:) Вобщем PHP Script injection подтвердился.

Именно, загруженное через аватар)

Только его не совсем правильно настроили
Зато свою задачу он выполнил)

+toxa+, а ну харошь уязвимости искать! А то весь лимит исчерпаешь =)))))))

censored! ну моя активная xss и php inj это ещё не всё имхО)

Чтение не модерированных сообщений через дерево.
Пусть опережают, для меня это только fun.
Отписал бы лучше. Наверное будет считаться как:
Ошибки распределения прав (чат, форум, админцентр) - 30 - 50$ / за ошибку 2*
2*Можно сделать то, что не разрешено - 50$; Нельзя сделать то, что разрешено - 30$

Внимание! Тестирование временно приостановлено в связи с возможным перерасходом бюджета.

Буду раскапывать то, что накопилось. Найдена совершенно неожиданная бага в достаточно хорошо проверенном модуле.

Всем, кто оставил свои темы в Security Bugs (11 тем) следите за их состоянием и моими комментариями / вопросами.
К сожалению качество комментариев оставляет желать лучшего, иногда приходится долго думать, что имел в виду автор.

Думаю до 20 разгребу основное/устраню баги и сделаю выплаты.

Отписал бы лучше. Наверное будет считаться как:
Ошибки распределения прав (чат, форум, админцентр) - 30 - 50$ / за ошибку 2*
2*Можно сделать то, что не разрешено - 50$; Нельзя сделать то, что разрешено - 30$

В любом случае у меня WM нет :D

Внимание! Тестирование временно приостановлено в связи с возможным перерасходом бюджета
Да ладно. Если все действительно как есть на самом деле - почему бы и не потестить в свободное время.

меня интресует тема: хоть каму-нить зюзе выплатили уже или аффтар грязный крыс?

меня интресует тема: хоть каму-нить зюзе выплатили уже или аффтар грязный крыс?


Он же написал что после 20

Он же написал что после 20
вот видишь, значит нет. а почему в начале тпоика условия ненаписаны? а вдруг после двадцатого, когда аффафтар сам логонит как поправить багу он тоху кинет? :o так что аффтар пройди ка гаранта, покажи что деньжаат имеются у тебя. :D ( спротекцией отправь делиту 1000 баксов и пароль не говори на 1 день)

Деньги получены. Все Ок.

Деньги получены. Все Ок.
+1, ровно 550...