ANTICHAT

ANTICHAT (https://forum.antichat.xyz/index.php)
-   Проверка на уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=110)
-   -   Сайт Fatmafashion.ru на проверку (https://forum.antichat.xyz/showthread.php?t=97711)

art0ff71 24.12.2008 11:00
Сайт Fatmafashion.ru на проверку
 
Прошу проверить на уязвимости мой сайт Fatmafashion

Ссылка на проверку поставлена.

Описание:
- Сайт написан на движке Shop-Script Premium v1.23
- Некоторые дырки поправлены, но есть еще.

Заранее благодарен.

art0ff71 25.12.2008 11:26
Неужели нет профи, который все-таки найдет баги?!

Jokester 25.12.2008 14:40
Дружище, прочитай правила раздела, сайт должен быть самописным, а аудит безопасности платного движка никто тебе тут нахаляву проводить не будет, а если что и найдут, то постить это сюда тоже не к чему :)

art0ff71 25.12.2008 17:09
В п.2 сказано, что: "В разделе публикуются ваши сайты, которые Вы хотите проверить"
Так что я все сделал согласно правилам форума. Так как сайт этот мой и я хотел его проверить.

Если я слепой, то будьте добры указать где написано слово "самописные"?! Тогда прошу прощения и удалю свой топик.

aka PSIH 25.12.2008 17:12
Цитата:
Если я слепой, то будьте добры указать где написано слово "самописные"?!
https://forum.antichat.ru/showpost.php?p=408070&postcount=2
...
Дополнение к правилам.
2. Сайт, заявку на рассмотрение которого вы оставляете должен содержать некую самописную часть.
...

art0ff71 25.12.2008 20:30
ну если с этой стороны подходить, то прошу модератора удалить тему. спасибо.

gold-goblin 25.12.2008 22:48
насколько я знаю в шоп скрипт была всего 1 бага. Да и то ее прикрыли

art0ff71 26.12.2008 21:03
бага там была не одна, но сейчас точно есть и примерно знаю где, но пока до конца найти не могу... вот хотел найти помощь. жаль что не получается... буду сам добивать.

gold-goblin 27.12.2008 00:26
и где ты ее подозреваешь? я гляну

art0ff71 27.12.2008 15:44
бага вроде как в админке! учитыавя, что пароль шифруется только Base, то при хорошей инъекции на таблицу юзеров вылетает пароль. А вот его расшифровать проблемы нет.

gold-goblin 27.12.2008 19:04
=) рас бага в админке то мало кто ее сможет провернуть =) . Да и посмотрел админку своего шоп скрипта, ничего не нашел.
Систему шифрования легко поменять, но будет 2 проблемы:
1) после обнавления опять изменится шифрование.
2) Всем придется регатся снова.

Чтоб поменять шифрование то напиши в раздел по пхп там помогут.

art0ff71 27.12.2008 19:52
1) один уже провернул и через 20 минут показал мои логин и пароль админовские (расшифрованные ест-но), поэтому проблема актуальная даже если шифрануть, так как один хрен подобрать пасс можно.
2) всем не нужно регаться, если правильно проапдейтить таблицу паролей с готовым шифром.
3) да систему шифрования написать не проблема, тем более что она у меня почти готова.

gold-goblin 27.12.2008 20:26
Цитата:
2) всем не нужно регаться, если правильно проапдейтить таблицу паролей с готовым шифром.
Каким образом? сомаму расшифравать базу и зашифровать мд5? (яб не стал маратся)
да и тебе помогут 100% на сайте создателя =) если не создатели то другие пользователи =)


Время: 09:50