![]() |
Проверьте сайт
Вообщем системка, для урегулирования страховых споров.
url: insurance-ombudsman-doc.kz url для входа в систему: insurance-ombudsman-doc.kz/workspace тестовые акки: oksana@oksana.com - исполнитель omb@omb.kz - омбудсман www.allianz.kz - ск пароль такой же как логин. системка самописная + расширения: HTML_QuickForm Smarty pchart phpids lime_survey memcached bbcode Каков принцип работы: чел заходит на сайт insurance-ombudsman-doc.kz подает заявление дело отправляется СК. При выборе СК в подаче заявления выбирайте всегда `Allianz Kazakhstan` СК заходит в систему insurance-ombudsman-doc.kz/workspace, урегулирует или не урегулирует ситуацию. Отправляется уведомление или омбудсману или заявителю, зависит от того что сделала СК и т.д. По ходу дела все станет понятным надеюсь. Огромное спс всем участвующим. |
Цитата:
---------------------------------- Цитата:
|
Раскрытие путей.
Перехватываем пакет. В значение сессии вставляем что-то типа !@#$%^&*([]. Отправляем и получаем ошибку. Код:
Warning: session_start() [function.session-start]: The session id contains illegal characters, valid characters are a-z, A-Z, 0-9 and '-,' in |
Цитата:
Цитата:
|
SQL
http://www.allianz.kz/lang/ru/pages/-4+union+select+1,2,3,version(),5,6,7-- ps или я не тот url поверяю? :) |
Преобразуем имена переменных из самой первой формы в array, тобиж дописываем везде
name[]= И получаем: PHP код:
|
PHP код:
|
PHP код:
Опять же,это везде,банальное [] |
Цитата:
Цитата:
|
http://insurance-ombudsman-doc.kz/getExecutorMenu.php
PHP код:
|
http://insurance-ombudsman-doc.kz/js/.svn/ :D
Куки email и password, так же болеют на скуль. |
Цитата:
и в функции экранирования идет код: Код:
На счет .svn. также спс. Читал давно об этом. Да и у себя также заметил) Все руки как-то не доходили с этим разобраться. |
Зашёл на сайт. Индекс уже весь в ошибках:
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
И ещё: Цитата:
Вот ещё нашёл листинг директории Цитата:
Листинг: Цитата:
Цитата:
|
Цитата:
Еще, с этим ты конечно ничего не сделаешь :( http://insurance-ombudsman-doc.kz/myadmin/ https://insurance-ombudsman-doc.kz/manager/ Это бы можно было прикрыть от чужих глаз: http://insurance-ombudsman-doc.kz/js/ http://insurance-ombudsman-doc.kz/css/ http://insurance-ombudsman-doc.kz/images/ Ну и конечно это поправить: http://insurance-ombudsman-doc.kz/workspace?rederict[]=/active_engages |
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Спс за то что не поленились написать) |
| Время: 03:51 |