Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Проверка на уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=110)
-   -   resport.jino-net.ru (https://forum.antichat.xyz/showthread.php?t=44113)

UnDe[R]ooT 09.07.2007 18:53
resport.jino-net.ru
 
Наша команда собрала cms-ку на php, но вот надо бы её проверить на уязвимости, по адресу http://resport.jino-net.ru лежит демо вариат слегка заполненный контентом, надеюсь никаких уязвимостей не обнаружите, хотя об античате ходят легенды (;

UnDe[R]ooT 10.07.2007 22:27
Неужели нет ни одной уязвимости=)
Вообщем кто найдет тотальную ошибку или уязвимость получит приватную версию
нашей cms (10$) (;

zindi 10.07.2007 22:35
уже страшно) что там проверять если ядро пхп бб и все баги тоже отуда.

UnDe[R]ooT 10.07.2007 22:40
А поподробней можно? Просто реально интересно где у нас уязвимости(:
и при чем тут двиг phpbb, это просто скин cms-ки заделан под стиль phpbb=) не зря у тя репа в минусе)) теперь другой скин поставил...

NOmeR1 10.07.2007 22:59
Похоже на скулю
Цитата:
http://resport.jino-net.ru/index.php?art=8-1
Но сделать ничего нельзя, если я не ошибаюсь.

Y.Dmitriy 10.07.2007 23:04
Цитата:
Сообщение от NOmeR1
Похоже на скулю

Но сделать ничего нельзя, если я не ошибаюсь.
дык походу вывод не из скули идет а просто из файла...

freddi 10.07.2007 23:12
просто админка)
http://resport.jino-net.ru/admin

Azazel 10.07.2007 23:15
А тогда тебе придётся проверить некоторые хостёрские прибамбасы.

UnDe[R]ooT 10.07.2007 23:18
Ух че творится))

Попытка атаки администраторской панели:

IP: 80.***.24.47 10.07.2007 23:13
IP: 87.***.15.8 10.07.2007 23:13 \' or 1=1/*
IP: 87.***.15.8 10.07.2007 23:12 \' or 1=1--
IP: 83.***.8.191 10.07.2007 23:04 \' or 1=1/*

Кто себя узнает?=)

Isis 11.07.2007 04:43
http://resport.jino-net.ru/admin/admin.php
http://resport.jino-net.ru/admin.php
Можно поставить на брут легко...
Про 30 секунд написано для испуга =)
Багов не нашел

NOmeR1 11.07.2007 14:21
Цитата:
Сообщение от UnDe[R]ooT
Ух че творится))

Попытка атаки администраторской панели:

IP: 80.***.24.47 10.07.2007 23:13
IP: 87.***.15.8 10.07.2007 23:13 \' or 1=1/*
IP: 87.***.15.8 10.07.2007 23:12 \' or 1=1--
IP: 83.***.8.191 10.07.2007 23:04 \' or 1=1/*

Кто себя узнает?=)
Ну я здесь был :) Хотел админку проверить)

UnDe[R]ooT 11.07.2007 15:37
Так че, неужели всё чисто=) Млин в крутых проектах есть уязвимости а у нас 8-), хотя я понимаю что у нашей cms не так много функций как допустим у форумов phpbb или там ipb, но всё равно приятно... спасибо всем кто потратил время чтоб наш проект стал безопасней.

Ni0x 11.07.2007 20:08
Цитата:
Так че, неужели всё чисто=) Млин в крутых проектах есть уязвимости а у нас 8-), хотя я понимаю что у нашей cms не так много функций как допустим у форумов phpbb или там ipb, но всё равно приятно...
не обольщяйся

SQLHACK 12.07.2007 02:36
давай купим у тя ЦМС за 10$ и твой сайт рухнет :)

UnDe[R]ooT 12.07.2007 09:45
Друг, если хочешь я могу и исходники выложить (; В принципе я её не разрабатывал, но я занимаюсь её продвижением и улучшением, и если это поможет избавиться от уязвимостей, то вот исходники
http://inxak.clan.su/soft/atcms-beta.rar
Надеюсь на результат...

SQLHACK 12.07.2007 14:52
Так.
Беглым взглядом нашёл вот чё.
1. SQL-инъекция. Сценарий post.php

Код:
код

if ( $ind !== '' )
        {
                db_query ("insert into $INFO[db_prefix]book (k_art, user, post, email, url, icq, ip, mesdate)
                                        values ('$ind', '$name', '$message', '$email', '$url', '$icq', '$ip', '$date')");
Есть возможность произвести SQL-инъекцию.
'$email', '$url', '$icq', '$ip' не проверяется должным образом.

2. Возможность подмены заголовков. Сценарий post.php

Код:
header ("location:index.php?art=$_POST[index]#comment");
Есть возможность добавить новые заголовки.

Копаем дальше, правда я завтра на 15 дней уезжаю.

ultimatum 15.07.2007 01:26
http://resport.jino-net.ru/index.php?art=7

незнаю за что это считать )

Цитата:
На адрес \'><script>alert(xx)</script>@ru.ru выслано контрольное письмо.
Действуйте в соответствии с его инструкциями.

W!z@rD 15.07.2007 01:41
сайт проверяется античатом...
:-d
мдя... прикольно не спорю ))

UnDe[R]ooT 15.07.2007 19:36
Цитата:
Сообщение от W!z@rD
сайт проверяется античатом...
:-d
мдя... прикольно не спорю ))
Мля не сайт проверяется (он почти пустой), а cms которая стоит на этом сайте! Если ты не можешь найти никаких уязвимостей, то нах отписывать никому не нужные посты?!!! :mad:

xdx 30.09.2007 23:31
в cms бесит то что видимых таблиц вот например тут все в одно смешивается http://resport.jino-net.ru/index.php?art=13 phpBB стиль не ужели не могли придумать что нибудь другое? сори конечно что не ф тему ибо тут уязвимости ну пойми критика и все тут

lsass.exe 01.10.2007 19:55
разрабатывайте дальше,а пока что тут мало где можно найти уязвимости ;)


Время: 00:21