http://logicerror.pp.ru
 

http://logicerror.pp.ru
сайт друга :) картинка висит внизу.

Невозможно найти удаленный сервер

ты ошибку не сделал в адресе?
з.ы. он слкчаем не на укозе? так как там такие домены дают, вроде))

Прикольный сайт... в принципе его может увидеть любой желающий даже без конетка к сети...

хостинг упал просто. у всех упал. нет, не юкоз.

ага... мне понравилось видео про robots dancing )) побольше бы

Ucoz
реклама от укоза

покопался..это ведь двиг.. сюда вообще выкладываются самописные сайты.. либо где дописано что-то своё... и если дописано то указывается что..

нашёл вот.. md5 хэш пасса админа?
http://logicerror.pp.ru/admin/config.php

http://logicerror.pp.ru/trash/
внутри скрин, и архив с файлом: Отчет о проделанной работе Катя

http://logicerror.pp.ru/posticons/
вродебы просто картинки.. хз.. ничего полезного.

http://logicerror.pp.ru/sb/
статьи по сноуборду те которые на сайте.


админка:

http://logicerror.pp.ru/admin.php
походу не банит... и картинки нету.. =>
можно брутить.

XSS:
http://logicerror.pp.ru/guestbook.php?page="><script>alert(99)</script>

в поиске: 111'
выводит:

сайт полностью самодельный, писал с нуля в 2004 году. с полного нуля, даже за основу ничего не брал. спасибо всем за проверку, буду исправлять. :) и нет, не юкоз, рекламу повесил просто чтобы проверить кто на нее жмёт, а хостинг действительно вчера упал почти что на весь день :(

Я просканил руками на XSS и нашел только одну, которую уже предоставил BlackCats.
Насчет sql инъекций - буду искать.

да, действительно, хэш админа, уже три года там валяется ))) забыл снести просто. спасибо.

/trash/ общедоступно я туда выкладываю то что просят ну и не сношу ничего, эт не страшно.

/posticons/ смайлики )))

/sb/ да, тут косячок

наверное все таки нужно запретить эти директории.. спасибо.

www.rusandroid.ru

http://logicerror.pp.ru/guestbook.php?show=233
Раскрытие пути

Я нашел ОЧЕНЬ много дыр в мускуле. Короче там не через сцылку, а через запрос. 108 sql inj в разных запросах КАЖДОГО скрипта. Не верите - WVS 4 вам в помощь

http://dump.ru/files/j/j30873421/

Крякнутая версия консультанта. Необходимо только обновить базы.
Исправляй. С виду двиг отличный, но внутри дырявый как сыр.

где ты там узрел раскрытие путей.. я непонимаю.. О_о

Уже пофиксили =)

logicerror,
a ne mog bi vilojiti ishodnik :)?!

хохохо! Выложить исходник собственного двига? ИМХО он не согласится даже за деньги.

2 BlackCats вот раскрытие путей, которое было (слава богу страничку не закрыл):

http://logicerror.pp.ru/guestbook.php?show=240

Warning: Cannot modify header information - headers already sent by (output started at /home/logic/public_html/logicerror/inc_left.php:27) in /home/logic/public_html/logicerror/guestbook.php on line 33

Я еще ничего не фиксил )) скоро буду.. и плюсики расставлять тоже ;)

А исходники выложить гг, ну смешно согласитесь... давайте пять тыщ баксов - выложу ;)

Давайте не оффтопить? ТС попросил просканить сайт. Тут выкладываем только результаты и обсуждаем их.

нету, а расрытие пути есть
http://logicerror.pp.ru/guestbook.php?show=1
и везде до 86

POST http://logicerror.pp.ru:80/poll.php?action=' HTTP/1.0
Accept: */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Host: logicerror.pp.ru
Content-Length: 60
Cookie: poll_1=voted;PHPSESSID=3b8435bd179344e2f624919497f 86241
Connection: Close
Pragma: no-cache

pollid=1&answer=1&formbutton1=[ скуля =) ]

Инъекция через POST запрос.

И напоследок еще одна скуля:

http://logicerror.pp.ru/search.php?search

Ввести в строке поиска 1'

Выйдет ошибка мускуля.

КАЖДЫЙ скрипт имеет дырку. Все выводить мне лень. Сами ищите =)

Спасибо, буду искать исправлять. Слушайте, а после того как исправлю, можно будет тему еще разок поднять?