Всем привет. Купил и переписал магазин, хотел проверить его на уязвимость. Может что-то и забыл дописать или поставить. Сайт Www.toniss.ru Открывать только браузерыми на русском языке. :) Прошу отписывать всё то, что нашли. Буду ждать новостей!

че тут проверять - все на паблик движках стоит -oscomerce,wordpress, phpbb, будет в них дырка новая- поломают.

Ещё раз для особых повторяю. Форум проверять ненужно!
Надо только магазин. Магазин я переписывал, до движка тоже дело дошло, движок ты правильно назвал оси и ?

Ещё раз для особых повторяю. Форум проверять ненужно!
Надо только магазин. Магазин я переписывал, до движка тоже дело дошло, движок ты правильно назвал оси и ?
O_0 'особый' пасиб пасиб не надо так )
извени больше не буду проверять твой форум.

XSS в добавлении товара
(например тут: http://toniss.ru/shop/product_info.php?cPath=5_6&products_id=1013879)
Поле Количество: хоть и ограничено 4 символами, но на стороне сервера вообше проверок нет, мона заслать че душе угодно))

----

http://toniss.ru/shop/products_new.php?page=2&action=add_product
тоже самое - без проверок

Раскрытие путей:
http://toniss.ru/shop/rss2.php?feed=specials%00&limit=-1

--

Просто бага:
http://toniss.ru/shop/products_new.php?page=-1999999
Новые товары Показано -19999999 - -19999990

ShAnKaR Я просто уже про это писал , а сообщение удалили, незаметил.
BlackSun Спасибо. Буду думать как исправить.

Буду думать как исправить.

strip_tags()
htmlspecialchars()
htmlentities()
stripslashes()
addslashes()

з.ы. https://forum.antichat.ru/showpost.php?p=461243&postcount=1

Кто сможет украсть чужой акк с паролем, найти майл админа (желательно с паролем) или всячески испоганить бузу при этом доказав что это он поставлю +10. При всём уваженнии дописывание Адреса до бага я неочень ценю. Можно чтонить пожёще ?


halkfild:
не флудите, пишите по теме!