Наша команда собрала cms-ку на php, но вот надо бы её проверить на уязвимости, по адресу http://resport.jino-net.ru лежит демо вариат слегка заполненный контентом, надеюсь никаких уязвимостей не обнаружите, хотя об античате ходят легенды (;

Неужели нет ни одной уязвимости=)
Вообщем кто найдет тотальную ошибку или уязвимость получит приватную версию
нашей cms (10$) (;

уже страшно) что там проверять если ядро пхп бб и все баги тоже отуда.

А поподробней можно? Просто реально интересно где у нас уязвимости(:
и при чем тут двиг phpbb, это просто скин cms-ки заделан под стиль phpbb=) не зря у тя репа в минусе)) теперь другой скин поставил...

Похоже на скулю
http://resport.jino-net.ru/index.php?art=8-1
Но сделать ничего нельзя, если я не ошибаюсь.

Похоже на скулю

Но сделать ничего нельзя, если я не ошибаюсь.
дык походу вывод не из скули идет а просто из файла...

просто админка)
http://resport.jino-net.ru/admin

А тогда тебе придётся проверить некоторые хостёрские прибамбасы.

Ух че творится))

Попытка атаки администраторской панели:

IP: 80.***.24.47 10.07.2007 23:13
IP: 87.***.15.8 10.07.2007 23:13 \' or 1=1/*
IP: 87.***.15.8 10.07.2007 23:12 \' or 1=1--
IP: 83.***.8.191 10.07.2007 23:04 \' or 1=1/*

Кто себя узнает?=)

http://resport.jino-net.ru/admin/admin.php
http://resport.jino-net.ru/admin.php
Можно поставить на брут легко...
Про 30 секунд написано для испуга =)
Багов не нашел

ooT']Ух че творится))

Попытка атаки администраторской панели:

IP: 80.***.24.47 10.07.2007 23:13
IP: 87.***.15.8 10.07.2007 23:13 \' or 1=1/*
IP: 87.***.15.8 10.07.2007 23:12 \' or 1=1--
IP: 83.***.8.191 10.07.2007 23:04 \' or 1=1/*

Кто себя узнает?=)
Ну я здесь был :) Хотел админку проверить)

Так че, неужели всё чисто=) Млин в крутых проектах есть уязвимости а у нас 8-), хотя я понимаю что у нашей cms не так много функций как допустим у форумов phpbb или там ipb, но всё равно приятно... спасибо всем кто потратил время чтоб наш проект стал безопасней.

Так че, неужели всё чисто=) Млин в крутых проектах есть уязвимости а у нас 8-), хотя я понимаю что у нашей cms не так много функций как допустим у форумов phpbb или там ipb, но всё равно приятно...
не обольщяйся

давай купим у тя ЦМС за 10$ и твой сайт рухнет :)

Друг, если хочешь я могу и исходники выложить (; В принципе я её не разрабатывал, но я занимаюсь её продвижением и улучшением, и если это поможет избавиться от уязвимостей, то вот исходники
http://inxak.clan.su/soft/atcms-beta.rar
Надеюсь на результат...

Так.
Беглым взглядом нашёл вот чё.
1. SQL-инъекция. Сценарий post.php


код

if ( $ind !== '' )
{
db_query ("insert into $INFO[db_prefix]book (k_art, user, post, email, url, icq, ip, mesdate)
values ('$ind', '$name', '$message', '$email', '$url', '$icq', '$ip', '$date')");

Есть возможность произвести SQL-инъекцию.
'$email', '$url', '$icq', '$ip' не проверяется должным образом.

2. Возможность подмены заголовков. Сценарий post.php

header ("location:index.php?art=$_POST[index]#comment");

Есть возможность добавить новые заголовки.

Копаем дальше, правда я завтра на 15 дней уезжаю.

http://resport.jino-net.ru/index.php?art=7

незнаю за что это считать )

На адрес \'><script>alert(xx)</script>@ru.ru выслано контрольное письмо.
Действуйте в соответствии с его инструкциями.

сайт проверяется античатом...
:-d
мдя... прикольно не спорю ))

сайт проверяется античатом...
:-d
мдя... прикольно не спорю ))

Мля не сайт проверяется (он почти пустой), а cms которая стоит на этом сайте! Если ты не можешь найти никаких уязвимостей, то нах отписывать никому не нужные посты?!!! :mad:

в cms бесит то что видимых таблиц вот например тут все в одно смешивается http://resport.jino-net.ru/index.php?art=13 phpBB стиль не ужели не могли придумать что нибудь другое? сори конечно что не ф тему ибо тут уязвимости ну пойми критика и все тут

разрабатывайте дальше,а пока что тут мало где можно найти уязвимости ;)