Просмотр полной версии : freeicq.org
Сайта freeicq.org
найдите уязвимость,если она конечно есть :)
кто найдёт буду дарить по 1+ каждый день :D
Xss при добавлении номера icq в параметре uin.
POST http://freeicq.org/index.php
add_uin=1&add_submit=1&uin="><script>alert(/XSS/)</script>&pass=&uinpass_list=&author=&action=save&Submit=%C4%EE%E1%E0%E2%E8%F2%FC
Чегото я в шапке не вижу логотип ачата.
активная хсс, уязвимо поле "автор" при добавлении номера, отображается в
http://freeicq.org/index.php?list=uncheckers
[53x]Shadow
08.05.2007, 01:50
http://freeicq.org/index.php?limitstart=-1
Warning: mysql_fetch_object(): supplied argument is not a valid MySQL result resource in /usr/home/raider/domains/freeicq.org/public_html/index.php on line 229
Там все в поряде, только имхо лучше выдавать что нидь типа "по вашему запросу ничего не найдено" чтоб базу не раскрывать сразу.
-=lebed=-
08.05.2007, 02:52
http://freeicq.org/index.php?limitstart=54000000000000000000000000 - тож надо имхо выдавать что-нибудь другое чем это:
Warning: mysql_fetch_object(): supplied argument is not a valid MySQL result resource in /usr/home/raider/domains/freeicq.org/public_html/index.php on line 229
Dracula4ever
08.05.2007, 09:09
Я нашел XSS у тебя на сайте в разделе "Добавление номера в базу".
Я написал в номере,Пароле,Списке (uin;pass)и Авторе вразу "><script>alert()</script>
Кстати интересная фишка. (наверное не совсем уязвимость но всеже) Введи в логине всякую фигню и будет Неправильный логин
А попробуй ввести логин 0 пароль 0
такого не будет. Буду копать дальше
BlackCats
12.05.2007, 19:14
http://freeicq.org/index.php?add_uin=1
в полях номер и список номеров - xss
http://freeicq.org/index.php?checkscore=1
в обоих полях xss
http://freeicq.org/index.php?limitstart=0&sort=numbers&sortby="><script>alert(99)</script>
xss
(осторожно, последнем вылетаеет много алертов)
хех, все хотят плюсиков каждый день???))) :p
BlackCats
12.05.2007, 23:32
причём тут плюсики?
mouse.pro
13.05.2007, 12:21
Читай внимательней первый пост!
причём тут плюсики?
кто найдёт буду дарить по 1+ каждый день
BlackCats
13.05.2007, 12:23
БЛ*ТЬ если ты будеш искать баги тока за плюсики - твоё дело! я ищю потомучто мне это интересно, и туча свободного времени.
ЛифчиС5СВ
13.05.2007, 14:52
Баги искать поздно, т.к. только заметил топик, а вот русский язык снова подкорректирую ;):
Всем, кто хочет помочь в развитии проекта или как-нибудь еще, пишите на Icq: 343945744
Теперь, чтобы заработать очки на сайте, достаточно только общаться в форуме ( 1 пост - 2 очка )
И еще: нужен дизайн для этого сайта, если что-то по дизайну есть или вы можете его сделать, то свяжитесь со мною.
Интервал проверки новых номеров - 10 минут
mouse.pro
14.05.2007, 12:11
БЛ*ТЬ если ты будеш искать баги тока за плюсики - твоё дело! я ищю потомучто мне это интересно, и туча свободного времени.
Я и не собираюсь искать баги. Ты задал вопрос, я тебе показал ответ цитатой.
Немного не в тему - написал бы на сайте нахрен твой проект вообще нужен, а то лично я до сих не доезжаю - делать людям чтоли нефиг - флудить на форуме, чтобы получить задранные 9ки? Дешевле купить 1к подешевке...
А по теме - как уже сказано - слабое место - опенсоурс скрипты, т.е. форум, в нашем случае :)
http://freeicq.org/statistics/index.php - доступ закрой =\
БЛ*ТЬ если ты будеш искать баги тока за плюсики - твоё дело! я ищю потомучто мне это интересно, и туча свободного времени.
Да ты я смотрю нервный какой-то... :(
http://freeicq.org/statistics/index.php - доступ закрой =\
Закрыл уже))
http://freeicq.org/index.php?limitstart=54000000000000000000000000 - тож надо имхо выдавать что-нибудь другое чем это:
Warning: mysql_fetch_object(): supplied argument is not a valid MySQL result resource in /usr/home/raider/domains/freeicq.org/public_html/index.php on line 229
это еще неубрал но скоро уберу
А насчет xss уязвимостей поставил нормальный фильтр чтобы это непропускать
nikoteen
11.06.2007, 11:31
А ещё есть какие нить уязвимости??
А насчет xss уязвимостей поставил нормальный фильтр чтобы это непропускать
Поставим это несложно.
UnDe[R]ooT
09.07.2007, 18:39
не знаю на сколько это баг, но ввел в адресной строке ftp://freeicq.org/ и получил директорию с несколькими файлами=) один из них IMtale_4.1.2, в нём список с uin;pass и ещё список рассылок)) наверно про проект рассылал))
Зы пассы не подходят, но это понятно(;
http://freeicq.org/index.php?limitstart=90&sort=invisible&sortby=desc
Вот че ет значит? )
ПРЕДУПРЕЖДЕНИЕ: [2] mysql_fetch_row(): supplied argument is not a valid MySQL result resource (Строка: 532 файла /index.php)
был перезапуск сервера щас всё исправится
сабж загнулся?
http://freeicq.org/ :
Welcome to the home of freeicq.org
To change this page, upload your website into the public_html directory
Date Created: Thu Oct 25 06:31:38 2007
http://freeicq.org/index.php :
Could not connect: Access denied for user 'admin_freeicq'@'localhost' (using password: YES)
BlackCats
26.10.2007, 17:36
XSS
http://freeicq.org/index.php?checkscore=1
при провервке количества очков
в поле НОМЕР
XSS
http://freeicq.org/index.php?checkscore=1
при провервке количества очков
в поле НОМЕР
я её тоже нашёл,токо ты её на первой странице уже постил,так и не пофисксили)
halkfild
15.11.2007, 00:16
тему закрываю - нет баннера ачата
з.ы. так и осталось
POST XSS
http://freeicq.org/index.php?checkscore=1
уязвимые 2 поля
111222"><script>alert(document.cookie)</script>
http://freeicq.org/index.php?limitstart= ошибка мускула
з.з.ы если вы постите сайт на проверки, то убирайте те уязвимости что вам нашли - уважайте труд людей!
vBulletin® v3.8.14, Copyright ©2000-2026, vBulletin Solutions, Inc. Перевод: zCarot