Прошу потестить http://dxboard.ru - собственноручно написанный двиг форума. После прохождения тестирования я выложу его в открытый доступ, но сначала хочу удостовериться, что всё в порядке с безопасностью:)

намана) вот бы админку глянуть...

как раз в открытом доступе быстрее баги и найдут.

Что то он на какой то из форумов сильно похож. Ты точно полностью с нуля писал его?

>> После прохождения тестирования я выложу его в открытый доступ, но сначала хочу удостовериться, что всё в порядке с безопасностью

Вот после того как выложишь сурсы, как раз так и начнётся нормальный тест на уязвимости.

без использования ООП.
я ща круто выебнусь, но почему ?

Вообще, двиг я этот написал примерно три года назад, тогда про ООП и не слышал толком... А с тех пор он постоянно совершенствовался, много чего добавлялось, исправлялось...
Писал его абсолютно с нуля, даже аякс свой, ничего ниоткуда не брал. А похож он может быть на какой-то форум, так как я картиночки некоторые вроде как брал из тем других движков, в дизайне я не силён:)
А двиг выложу, только пусть он хотя б пару дней так повисит:)
А dxboard.ru станет сайтом официальным, т.к. я пока не планирую забрасывать поддержку движка.

Xss при создания голосования нашёл смотри в тему тест

http://dxboard.ru/viewtopic.php?id=6

в варьянтах ответа написал <script>alert()</script>

Спасибо, сейчас пофиксю...

не бага но неприятная фича.... аватар можно заливать с любой высотой и шириной благодара хекс редактору сматри тему https://forum.antichat.ru/thread20317.html

Оо, не слышал о такой баге Gd, буду править, спасибо)

Doom123
поможет тока ограничение веса на файло

у него стоит 40000 байт я залил картинку 1000*1000 весом 7000 байт

Пофиксил, как в теме https://forum.antichat.ru/thread20317.html указано, через загрузку изображения и проверке размера напрямую, теперь не прокатит такое:)

[img*]http://onerror=alert()[url*=http://onerror=alert()]http://onerror=alert()[/url*][/img*]

пустая мессага а может и хсс

Это уже зависит от хоста, иногда встречаю такое, барахлят pcre регулярки почему-то... У меня на локалхосте нормально такое отображается например. Вроде даже тут на ачате тема про это встречалась.

Cross-site Scripting Overview ---> RFC-2152 UTF-7

Личные данные -> Дополнительная информация:

+ADwA-/textarea+AD4A-+ADwA-script+AD4A-alert(document.cookie)+ADsAPA-/script+AD4A-


Пример срабатывания:
<dxboard.ru>
username=test;
pass=8b9f3f128a5c4b26e93a307bb9af770;
PHPSESSID=ve59bljfsff0jcop3t51m2pp4bg9m1q1

Тестовый форум -> Оффтоп

+ADw-/title+AD4APA-script+AD4-alert(document.cookie)+ADsAPA-/script+AD4-


Пример срабатывания:

<dxboard.ru>
username=test;
pass=8b9f3f128a5c4b26e93a307bb9af770;
PHPSESSID=ve59bljfsff0jcop3t51m2pp4bg9m1q1;
tread=%3B7%3A1208553717%3B8%3A1208557570;
treadids=%3B7%3A44%3B8%3A45

Подробнее прочитать можно тут:

http://forum.antichat.ru/threadnav66154-2-10.html

PS: Существенную опасность представляет второй случай, особенно в том плане если будет выпушенна англоязычная версия форума, так что с этим лучше заранее разобратся.

----------------------------------------------------------------------

Вспомогательная информация (мож кому пригодится)

Список файлов с параметрами:
/findmessages.php?id=1&page=1&sort=1 /logs.php?dat=1
/users.php?page=1&order=1&pr=1&srch= /check.php?act=3
/findmessages.php?id=1&page=1 /addrate.php?id=1
/adminsmiles.php?dat=5&id= /addrate.php?id=1
/viewtopic.php?id=3&last=1 /users.php?srch=1
/adminforums.php?dat=5&id= /writepm.php?id=1
/admintopic.php?&opt=3&id= /profile.php?id=1
/deleteallmes.php?folder= /deleteimg.php?id=
/viewpercents.php?n=1&id= /viewforum.php?id=1
/delcontact.php?act=1&id= /viewgroup.php?id=1
/bookedit.php?act=1&id=3 /logs.php?dat=2&id=
/viewtopic.php?id=1&fp=1 /fullanswer.php?id=
/addrate.php?id=1&plus=1 /viewtopic.php?id=3
/profile.php?id=1&view=1 /deletefile.php?id=
/subedit.php?act=4&id=3 /deletetopic.php?id=
/viewtopic.php?id=3&l=1 !!! /ipblock.php?dat=3&id=
/deletemessage.php?id= /mesopts.php?act=1&id=
/deletepercent.php?id= /viewpercents.php?id=1
/findmessages.php?id=1 /deleteprofile.php?id=

ipblock.php - чесно говоря смущает

Doom123, я смотрю смотрю и фиксю, уже довольно много косяков поправил, но есть ещё немного:)

у меня лично идей где найти багу просто нет=\ так что выклыдывай исходники будем химичить))


кстате смена пароля не работает... постоянно пишет что не верен старый пароль=\

Думаю, что завтра вечером выложу. Исходники правда страшные очень,без комментариев совсем)

PS. Баг с паролем пофиксил

Исходники выложил в открытый доступ: https://forum.antichat.ru/thread67760.html
Ну а тестирование продолжается:)

у тебя там на серве register_globals off ?

Заходим на несуществующую тему ht*tp://dxboard.ru/viewtopic.php?id=6 и редирект на главную не срабатывает. даже если самостоятельно нажать на ссыль "Если не хотите ждать,нажмите сюда" :)

у тебя там на серве register_globals off ?
Да

Заходим на несуществующую тему ht*tp://dxboard.ru/viewtopic.php?id=6 и редирект на главную не срабатывает. даже если самостоятельно нажать на ссыль "Если не хотите ждать,нажмите сюда"
Редиректы сейчас так работают: если хистори не пустая, то вернуться на страницу назад, если пустая, то на главную.

Перешёл отсюдава на ht*tp://dxboard.ru/viewtopic.php?id=6, через секунду редирект...сюда, на Ачат)) Я в принципе не знаю, как сейчас редиректы работают, по истории или как, но по моему лучше принудительно сделать редирект на главную страницу, т.к. вот в моём случае, меня перекинуло совершенно на другой форум, а это потеря юзера, если он к примеру перешёл с поисковика или ещё откуда на несущ. стр.

с огромным трудом поставил на локалхост ( по крупицам собирал структуру бд :D )

вообщем при register_globals on есть несколько аналогичных скулей и ксс

с огромным трудом поставил на локалхост ( по крупицам собирал структуру бд )

вообщем при register_globals on есть несколько аналогичных скулей и ксс

Почему с огромным трудом - непонятно, инсталлятор всё делает за несколько секунд. А про скули и xss поподробнее, если можно.

Почему с огромным трудом - непонятно, инсталлятор всё делает за несколько секунд

Видно при register_globals on там проблемы .. может у тебя переменые с теми же именами как имена запросов? POST/GET

может у тебя переменые с теми же именами как имена запросов? Post/get
Есть такое, но они все переобъявляются, если только где чего не пропустил.

Да и на локалхосте я с register_globals = on тестил, всё нормально было.

Форум временно недоступен, патчим дырки:) гыг