Прошу проверить на уязвимость.
Ссылку проверки разместил.
Двиг самописный.

Сайт заблокирован хостинг-провайдером!

1. Закончился срок оплаченного хостинга.
2. Были нарушены правила пользования хостингом.

Path Disclosure

Warning: session_start() [function.session-start]: The session id contains illegal characters, valid characters are a-z, A-Z, 0-9 and '-,' in T:\home\virtual\2proxylife\init.php on line 2

тут вообще нет норм фильтрации

http://2proxylife.net/?req=proxy_info&id=1

Warning: gethostbyaddr() [function.gethostbyaddr]: Address is not in a.b.c.d form in T:\home\virtual\2proxylife\index.php on line 59

http://2proxylife.net/?req=proxy_info&id=10.10.10.10

Warning: mysql_connect() [function.mysql-connect]: Can't connect to MySQL server on 'localhost' (10055) in T:\home\virtual\2proxylife\classes\mysql.php on line 13

=========================================
Время: 11:19:11
Сообщение от сервера: Can't connect to MySQL server on 'localhost' (10055)
IP Клиента: *.*.*.*
Запрос: MySQL Connect




но, похоже, это временное явление

+ еще тут

Warning: filemtime() [function.filemtime]: stat failed for ./checker.php in T:\home\virtual\2proxylife\index.php on line 78

з.ы. было бы время поковырял бы далее, а так исправляй ошибки

переходим сюда: _http://2proxylife.net/web/index.php?q=aHR0cDovL3hha2VwLm1vYmkvdGVzdC5odG1s&hl=1011101001
лицезреем наши куки.
алгоритм:
http://2proxylife.net/web/ - здесь снимаем птичку с "Отключить Scripts", а в поле адреса вписываем адрес на страницу с установленным на ней сниффером.
в даном случае просто
<html>
<script>alert(document.cookie);</script>
</html>

осталось только дать полученную ссылку(см. вверху) нашей жертве.
вот такая вот пасивная xss.

Хоть и пасивка.. но, скрипт phproxy паблик... своё придумывать не стал.

Спасибо, ошибки исправил.

=========================================
Время: 15:39:31
Сообщение от сервера: Column 'icq' cannot be null
IP Клиента: X.X.X.X
Запрос: INSERT INTO `users` VALUES (null, '\'desTiny', '85c67a30aa831b696d10922cb1de4ab0', '0', '0', '0', null, 'ТУТ БЫЛО МЫЛО')

зарегался по данным
логин: 'desTiny
пасс: '123

Не заходит

add:
то же самое, если зарегаться с именем и пассом '

Это не считается уязвимостью, я запретил нулевое значение в БД... однако фильтр ставить надо бы.
Спасибо,

Решение данной проблемы - нельзя оставлять пустые формы при регистрации, поставлю проверку перед импортом.

add:
"Текущее состояние: Неработает" - неправильно:
Текущее состояние: Не работает :)

XSS в POST запросе:

Host: www.2proxylife.net
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.15) Gecko/20080623 Firefox/2.0.0.15
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: ru-ru,ru;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://www.2proxylife.net/index.php?sort=siske&sortby=desc'
Cookie: PHPSESSID=ad8f11fbc8767bab42e87778c6c61003
Content-Type: application/x-www-form-urlencoded

m=user_check&proxy_list=</textarea><script>alert(/Hi/)</script>siske&pr_type=socks5&pr_timeout=10
SQL error:

Host: www.2proxylife.net
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.15) Gecko/20080623 Firefox/2.0.0.15
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: ru-ru,ru;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://www.2proxylife.net/index.php?sort=siske&sortby=desc'
Cookie: PHPSESSID=ad8f11fbc8767bab42e87778c6c61003
Content-Type: application/x-www-form-urlencoded

m=user_check&proxy_list=&pr_type=siske&pr_timeout=10
Опечатки:
http://www.2proxylife.net/?req=getlist "Не зарегистрировынным" -> "Незарегистрированным"
"uptame" -> "uptime"

Опечатки исправил, спасибо.

http://www.2proxylife.net/?m=user_check
==========================================
Время: 00:52:58
Сообщение от сервера: Column 'country' cannot be null
IP Клиента: Ага, вот эти ребята
Запрос: INSERT INTO `proxy_list` VALUES (null, null, null, 'unknown', '1215118378', '0', '0', '0', '0', '0', '0', 'http', null, '0', '0', '0')

:rolleyes:

Исправил, поставил разрешения null в БД.

Не уязвимость конечно но всеже нехорошо както...

=========================================
Время: 19:50:27
Сообщение от сервера: Column 'proxy_host' cannot be null
IP Клиента: 127.0.0.1
Запрос: INSERT INTO `proxy_list` VALUES (null, null, null, 'unknown', '1215964227', '0', '0', '0', '0', '0', '0', 'http', null, '0', '0', '0')


Это если пустой список прокси на проверку посылать...


=========================================
Время: 21:16:45
Сообщение от сервера: Lost connection to MySQL server during query
IP Клиента: ---
Запрос: SELECT id FROM proxy_list WHERE proxy_host = '193.202.63.20' AND proxy_port = '3128'

Че за? Может из-за того сайта?

Тему ап. С мускулом повоевал, класс переписал.

Add
Обновил аномайзер, web.2proxylife.net
Полная поддержка socks5
Новый довольно сильно облегчённый дизайн.

Fix
Маты от мускула исправлены.
XSS в POST запросе m=user_check убран
Орфография

Времени мало, решил освежить проект.

На индексе шас раскрытые пути)