Форум АНТИЧАТ - http://light-engine.ru/beta/

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Проверка на уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=110)

- - http://light-engine.ru/beta/ (https://forum.antichat.xyz/showthread.php?t=181206)

AtomoS

23.02.2010 04:32

http://light-engine.ru/beta/

Привет всем!) Давненько начал писать веб-обвязку для сервера игры LineAge2. Пару раз выкладывал свою работу в шару.

Теперь прощу вас проверить мой самописный продукт на безопасность.

Данные для доступа:

Цитата:

http://light-engine.ru/beta/?page=admin [login: antichat, pass: antichat]

Цитата:

http://light-engine.ru/beta/?page=account [login: antichat, pass: antichat] & [login: admin, pass: admin] & [login: atomos, pass: atomos]

Так-же ищу человека кот. поможет мне максимально обезопасить мой бесплатный продукт..

В конце проверки и откладки заащиты я выдвину эту версию в шару))

ZARO	24.02.2010 18:34

Раскрытие путей - http://light-engine.ru/beta/?page[]=news

Warning: basename() expects parameter 1 to be string, array given in /[не выкладываем пути]/beta/index.php on line 35

wkar	24.02.2010 20:28

xss в поле название

m0Hze

25.02.2010 10:48

http://light-engine.ru/beta/?page=registration
POST:
account[]=09645&password[]=90456&password2[]=90456&submit=

http://light-engine.ru/beta/?page=account&act=chcolor
POST:
new_color[]=&char=TipTop

И так далее в ЛК почти с каждой формой.Лень все копировать сюда.

ZARO	25.02.2010 16:33

Цитата:

Сообщение от AtomoS

исправил ошибки от: ZARO и m0Hze
конфиги в порядке)

Хм... http://light-engine.ru/beta/?page[]=news - до сих пор выдаёт ошибку....
Еще скуля - http://light-engine.ru/beta/?page=account ведии в логин и пасс по ковычке

AtomoS

09.03.2010 15:52

мистер [nick: BoB4uK, ip: 62.140.253.6] хватит гадить в конфигах.. вы не открыли америку и не вздлмали этот мир..

BlackSun

10.03.2010 11:02

Обход авторизации:
http://light-engine.ru/beta/?page=/admin&act=config

index.php

PHP код:


		
			
if ($_GET ['page'] == 'admin') { include_once ("data/protection.inc.php"); };

Это крайне тупо, data/protection.inc.php надо подключать в любом случае в самом page/admin.php

AtomoS

11.03.2010 00:26

хоть убей:

Цитата:

Warning: Cannot modify header information - headers already sent by (output started at header.inc.php:18) in data\protection.inc.php on line 12

Warning: Cannot modify header information - headers already sent by (output started at header.inc.php:18) in data\protection.inc.php on line 13

AtomoS

11.03.2010 09:41

нужно узнать как провести sql-inj через админку

AtomoS

18.03.2010 13:14

народ нужно просмотреть содержимое файла data/config.inc.php
можно ли через админку сделать??

nupaT

21.03.2010 00:18

xss При создании новости с текстом

Код:

[IMG]"><script>alert(/xss/)</script>[IMG]

Время: 08:47