|
Проверте а дыры
Привет всем! прошу проверить мой скрипт на дыры
http://demix.org.ua жду размышлений, советов и багов ;) |
имейте совесть, не меняйте пароли!!!!
а Вы, админы, убирайте возможность смены пароля для тестовых акков а по сабжу - вроде ничего не нашел совет: дизайн сделай нормальный) |
дизайн временный а смену завтра уберу, для тестов если не сложно можете зарегится. Мой недруг говорит что в скрипте нашол 3 дыры
|
когда выводишь лог и пасс сверху на ссылке торчит пасс)) или я не так зделал)
halkfild: да и при регистрации такая же тема.. можно писать не валидные мейлы, не говоря уже о авторегере |
кстати защитный код спасет только от людей)
|
кстати я упустил интересную вещь, теперь админка находится на ид1 (логин: ааа) кто доберётся к ней отпишите в новостях.
аккаунт для теста: login: test poss: test для теста испольуйте оперу или мозилу. IE7 неработает с этим скиптом |
Цитата:
|
Цитата:
|
В разделе "ПРАВИЛА" в теге титл стоит <b> ,которая отбражается как текст.
|
http://demix.org.ua/mail.php?ses=K70IqyiGPn1usdD&ses=KMhEiHizIOEhJEJ&a =oper
У меня после двойного входа продублировалась сессия(смотри на ссылку).Думаю надо исправить... |
Та то так нуно, главное чтоб в акк незашли на ид1
|
Временно удалено.
|
Ну думаю делать всёравно нечего, потестю)
Естественно первое что мне попалось это система регистрации! Первое замечание каптчу посложнее прикрути) Ещё надпись На ваш e-mail будет отправлен пароль!!! ну прям всё)) такая необходимость бежать за пасом на мыло если его можно взять наместе)) в страничке чтото сранное скрыто) <input type='hidden' name='up' value='b6bYvc'/> чтобы это могло быть) после отправки пакета и ответа от сервера HTTP/1.0 302 Found Date: Sat, 16 Aug 2008 18:27:13 GMT Server: Apache/2.2.9 (FreeBSD) PHP/5.2.6 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.7e-p1 X-Powered-By: PHP/5.2.6 Expires: Mon, 26 Jul 1997 05:00:00 GMT Cache-Control: no-cache, must-revalidate Pragma: no-cache Last-Modified: Sat, 16 Aug 2008 18:27:13 GMT Location: http://demix.org.ua/reg.php?rules=1&end=9&pwd=b6bYvc Content-Length: 602 Keep-Alive: timeout=5, max=70 Connection: Keep-Alive Content-Type: text/html; charset=utf-8 Стало ясно что это пароль) end=9 ID в базе) + Инфа на главной странице о моём браузере) Стоит вписать в подпись браузера скрипт и можно вообщем заюзать) При неправильном вводе пароля вылетела следующая бойда) Warning: fopen(temp/banip.txt) [function.fopen]: failed to open stream: Permission denied in /home/vandal1/data/www/demix.org.ua/serfing.php on line 61 Warning: Cannot modify header information - headers already sent by (output started at /home/vandal1/data/www/demix.org.ua/serfing.php:61) in /home/vandal1/data/www/demix.org.ua/function.php on line 73 Warning: Cannot modify header information - headers already sent by (output started at /home/vandal1/data/www/demix.org.ua/serfing.php:61) in /home/vandal1/data/www/demix.org.ua/function.php on line 76 + Мега форум просто место для спама)) каптчу воткни) Думаю хватит) Ремонтируй, кажись тут куча всего) |
Цитата:
|
Цитата:
|
какой именно скрипт ))
иногда приходишь к мысли, что заявительпроверки не является аутентичным /подлинным, настоящим/ владельцем или разработчиком сайта.... тут дырок насобирают наши хакиры... а автор топика их будет юзать )) шикарно... если сайт ваш, заливайте в корень сайта теткстовый файлик с примерным содержанием "без наёбок :)" |
Цитата:
А на счёт капчи ещё ничего в голову не приходит:( |
во я тупанула )) надо было попросить добавить надпись на главную страницу... hacked by antichat looserz :Р
диз все-таки доработай... не заьрасывай |
Мне дизайн сейчас не главное
|
Цитата:
|
Мде мего сложную каптчу поменяли на просто НЕРИАЛЬНУЮ)) Кстати можешь убрать) Её можно обойти) просто посылать пустое значение в checksum= Да если не перезаходить на страницу ну тобешь не запрашивать заново каптчу а просто менять кашель и логин то тож проходит)
|
| Время: 21:09 |