Просмотр полной версии : my cms
Я пишу движок, если кто может поищите уязвимости
http://myproject.st8.ru хочу узнать ваше мнение... :p
BlackSun
06.10.2008, 17:36
Раскрытие путей
http://myproject.st8.ru/img.php?img[]=32
Активная ксс - загружаем к примеру файл xss<hr>.jpg
http://myproject.st8.ru/allpic.png
и
http://myproject.st8.ru/galinfo.php?idpic=32
Админка - http://myproject.st8.ru/admin.php
Раскрытие путей:
<input type="file" name="image" size="16" accept="image/*">
Меняем на <input type="file" name="image[]" size="16" accept="image/*"> и постим
Еще раскрытие путей
http://myproject.st8.ru/galinfo.php?idpic[]=32
---------
Да и проверять там особо нечего
Раскрытие путей
на странице admin.php если не установить значение переменной куки images
или если поставить что-то типа images=-1.0
/admin/backup/index.php - Sypex Dumper Lite
BlackSun
06.10.2008, 19:51
А в Sypex Dumper Lite тоже ксс)
Web-Xakep
07.10.2008, 02:59
Посмотри http://myproject.st8.ru:80/conf/
Какие нибудь серьёзные уязвимости есть?
:p
http://myproject.st8.ru/42.jpg http://myproject.st8.ru/43.jpg
http://myproject.st8.ru/index.php?lang=test
vBulletin® v3.8.14, Copyright ©2000-2026, vBulletin Solutions, Inc. Перевод: zCarot