http://kazved.kazan.ru/

Сайт написан на ASP.NET, база данных на SQL Server 2005, на сервере установлен фаерволл.

Ломайте, крушите, взламывайте, юзайте всякие XSS, SQL Injection, травите брутфорсами, натравливайте на сканеры безопасности ;-) Валите IIS, роняйте пул приложений ASP.NET, роняйте фаерволл, почтовый сервер, вобще, ЧТО УГОДНО.

Только не надо делать DDoS атакаи, это нечестно ;-)

Сервак скоро будем отдавать на collocation, по-этому, важно чтобы сайт!! а с ним и сервер был устойчив к хакерским атакам. За найденные критические уязвимости могу выслать вознаграждение ;-))

АДМИНАМ: на главной странице в центре находится надпись "Хотим проверку от ANTICHAT.RU" и картинка которая указана в правилах.

спасибо gold-goblin-у за то что нашел XSS.

С уважением, веб-разработчик газеты Казанские Ведомости. Аська 474730

http://kazved.kazan.ru/Thumbnail.aspx?img=./uploadimg/../uploadimg/45738_3534_PICT0001.JPG&w=298

Этот запрос коректен

http://kazved.kazan.ru/Thumbnail.aspx?img=../uploadimg/../uploadimg/45738_3534_PICT0001.JPG&w=298

Этот нет.

Делай выводы. Кривая читалка файлов. Поставль проверку по регулярке или тика того

При отправке лс.
Адресат: оконьчание на " ' "
Тема: "'><script>alert(document.cookie)</script>"
Кому нужно крутите до актив.
http://img80.imageshack.us/img80/7990/3232323232bn3.jpg

http://kazved.kazan.ru/Thumbnail.aspx?img=./uploadimg/../uploadimg/45738_3534_PICT0001.JPG&w=298

Этот запрос коректен

http://kazved.kazan.ru/Thumbnail.aspx?img=../uploadimg/../uploadimg/45738_3534_PICT0001.JPG&w=298

Этот нет.

Делай выводы. Кривая читалка файлов. Поставль проверку по регулярке или тика того

Slon зачем так всё усложнять ))
http://kazved.kazan.ru/Thumbnail.aspx?img='

И темболие их очень много таких ошибок на сайте:
http://kazved.kazan.ru/Art.aspx?id=21&t=%22'%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E%22
http://kazved.kazan.ru/CatV.aspx?show=http://kazved.kazan.ru/Art.aspx?id=21&t=%22'%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E%22=16&t=c

можно продолжать)

Slon зачем так всё усложнять ))
http://kazved.kazan.ru/Thumbnail.aspx?img='

зачем так все усложнять!
http://kazved.kazan.ru/Thumbnail.aspx?img=
=))) кстать забыл
http://kazved.kazan.ru/forum/calendar.asp?M=6' ))
а вообще много битых ссылок на локалхост (в частности рисунки, ссылки с индекса)

http://kazved.kazan.ru/Thumbnail.aspx?img='
а при чем тут символ кавычки? Эт ж не скуль. А я усложднял для того, что бы доказать, что этo читалка файлов :)

http://kazved.kazan.ru/forum/calendar.asp?M=6'
Это то же не скуль. Все прекрасно отфильтровано.
То что вы видите это уведобление об ошибке, что данный параметр не int))

галера также кривая, не проверяется расширение файла

2DrFaust
Читаем правила:
http://forum.antichat.ru/thread39721.html

3. Для того, чтоб мы были уверены, что Вам нужна такая проверка, Вам необходимо повесить следующую ссылку на
наш форум <a href="http://forum.antichat.ru"><img src="http://forum.antichat.ru/images/test_antichat.gif" alt="Сайт проверяется античатом" border="0"></a>
etc...