IOS - Icq OnLine Shop

http://ios.pixpromo.ru/demo/

Движок онлайн магазина icq. Полностью самописный. Онлайн оплата работает через вебмани мернчат. Прошу проверить на уязвимости.
Писался моим другом Foxa icq 667715, я помогал с некоторыми вещами =)

Позже будут доступны и сорцы, а пока что помогите сделать двиг безопасным =) С меня + ;)

Туго с уязвимостями на этом ресурсе :)
Единственное... может такого не должно быть http://ios.pixpromo.ru/demo/templates/.... ну в том смысле чтобы нельзя было бродить по папкам :)
Хотел подменить емейл при проверке, пишет что письмо отправлено, но на подменненый адрес не приходит. А можно было бы использовать как некий флудер.... хотя если перед этим этот адрес уже проходил через систему то письмо все же дойдет на подменненный.... (может и мутно но так выходило)... Назвать это уязвимостью никак нельзя (на данном этапе :) ) По поводу флудера думалось так (может и глупо, но...) делаем скрипт который будет постоянно выполнять вот такой запрос http://ios.pixpromo.ru/demo/pay.php?step=check&email=какойто@адрес, к нему прикручиваем базу мыл побольше и ставим выполнять.... все ящики которые будут в базе в итоге получат кучу писем от ресурса, и возможно попадут в спамотстрел. Как итог больше никто из владельцев этик адресов не сможет купить номер на ресурсе, так как письмо от ресурса попадает под спам и уничтожается..... :) Вот такая ересь в голову пришла.... особо не смейтесь :)

-))) Весело, когда искал номер ICQ, набрал 12, он сказал, цитата: "Hacking attemp"
Я хакир? -)

Впринцыпе неплохой и просто движок, а то обычно понапихают, прям приятно ткнуть кнопкой -))

у меня не открывается - "соединение было сброшено"

Че-то у Фоксы хост лагает...Кстати вы можете смело проходить весь процесс покупки, т.к. включен тестовый режим, и деньги с вашего счета сниматься не будут.

Всем кто уже отписал, спс.

ios.pixpromo.ru ftp открыт для анонимного входа

На второй шаг чтото вообще не пускает, "Hacking attemp" постоянно.

Посмотрел. Все стабильно хорошо работает :)
hacked attemp выходило когда либо кавычку ставил, либо .../../ - Заметил такую вещь:
http://ios.pixpromo.ru/demo/index.php?z=6' - система сигналит.
А при обращении к http://ios.pixpromo.ru/demo/news.php?id=1'
Молчит.

Red_Red1, исправил. На проверку повесил капчу =)

Sn@k3, там стоит проверка на длину )) исправил текст ошибки ...))

Elvis000, это к хостеру... решаем ;)

Zedobat, емеил, номер асику, номер кошелька жёстко проверяется... исправил текст ошибок =)

Ershik, а новости не выводятся отдельно... пока только список... так что никакого id там нет %)

Всем большое спасибо за ответы !)

С сайтом вроде всё чисто... самое важное это оплата и получение номера !

Стоит тестовый режим ! Деньги не переводятся !



!!! Временно недоступно из-за проблем с хостингом !!!