PDA

Просмотр полной версии : iz.planetwow.info - Проверьте

MiCq
03.07.2007, 02:44
Ну вот http://iz.planetwow.info/
проверьте и назовите все дыры :)
В замен всё что в моих силах!
abatsk
04.07.2007, 20:57
В замен всё что в моих силах!
У меня чтоли скопировал? ГЫыыы :D
Spyder
04.07.2007, 21:42
Пассивная XSS
На главной паге в форме авторизации в поле Логин вставляем
"><script>alert(/0_o/)</script>
Y.Dmitriy
04.07.2007, 21:47
http://viruspro-iv.1gb.ru/i/forum/0.gif
что ты хотел сказать этой картинкой у себя в форуме?
BlackCats
04.07.2007, 22:45
на главной при авторизации в поле логин:
"><script>alert(99)</script>
вылетает алерт. (XSS)
"забыли пароль" - ведёт на главную страничку.. зачем тогда вообще эта кнопка?
при регистрации - в поле Email непомещаеца даже мыло alex@mail.ru а у меногих мылы на много длиннее
незнаю я -не я.. но наставил в форуме в сообщениях "><script>alert(99)</script>
и чёт случилось с главной страничкой (ы зит яерь срНововведениМедрниункт anо пOTSPAN class=date>01:09, 17.06.2007 НововведениТехрниерерыSPAN class=date>21:10<4SPAN>иbr>ЗаR>ы.рь срь сP.S. - Извиняюс! зигжно <лько днВ име знаейн Ршесавнед(ViRusPRO)>)



http://iz.planetwow.info/i/inf.php?

Warning: include(inc/db_connect.php) [function.include]: failed to open stream: No such file or directory in /home/cormholio/domains/planetwow.info/public_html/IZ/i/inf.php on line 4

Warning: include() [function.include]: Failed opening 'inc/db_connect.php' for inclusion (include_path='.:/usr/local/lib/php') in /home/cormholio/domains/planetwow.info/public_html/IZ/i/inf.php on line 4

Warning: mysql_query() [function.mysql-query]: Access denied for user 'apache'@'localhost' (using password: NO) in /home/cormholio/domains/planetwow.info/public_html/IZ/i/inf.php on line 5

Warning: mysql_query() [function.mysql-query]: A link to the server could not be established in /home/cormholio/domains/planetwow.info/public_html/IZ/i/inf.php on line 5
Spyder
04.07.2007, 22:48
BlackCats, глаза открой
BlackCats
04.07.2007, 23:09
как я понял, не сложно будет написать флудер для форума и автореггер.
страничка:
/register.php
POST "запрос:"
login=&psw=&conf_pass=&rname=&deviz=&city=&law=&law=®ister=&day=

страника:
/forum.php?f=main
POST "запрос:"
addtitle=&addicon=&addicon=&addicon=&addicon=&addicon=&addicon=&addtop=
MiCq
05.07.2007, 09:29
хороше :) спасибо рейтинг вам поднял, ну а вот не какой инъекции нечего нету разве???
[53x]Shadow
07.07.2007, 19:41
Пассивная XSS
На главной паге в форме авторизации в поле Логин вставляем
"><script>alert(/0_o/)</script>
Исправил эту, зато вот так работатет:
В логин вставляем:

<script>alert(/XSS/);</script>
halkfild
09.07.2007, 00:50
1. xss в поле логина..

2. Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/cormholio/domains/planetwow.info/public_html/IZ/inc/header.php on line 23

и так кругом.. настрой потом будем тестить