Форум АНТИЧАТ - Официальный сайт МОУСОШ п. Мичуринский

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Проверка на уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=110)

- - Официальный сайт МОУСОШ п. Мичуринский (https://forum.antichat.xyz/showthread.php?t=191531)

Официальный сайт МОУСОШ п. Мичуринский

Я сейчас разрабатываю сайт школы МОУСОШ п.Мичуринский.
Временный домен: http://schoolmich.edu.ru.orange.intobservatory.ru/
Работает на самописном движке (если это можно назвать движком).
Прошу проверить сайт на уязвимости.
Интересующие области: гостевая, админ-панель (http://schoolmich.edu.ru.orange.intobservatory.ru/admin/).

Спасибо! :)

Проверка все еще идет так что по пути буду редактировать сообщение.

1. в гостевой книге в поле текст сообщения можно вставлять html код

1.почему в админке не надо вводить логин - сразу минус
2.почему в админке пароль вводиться формой с методом GET - гигантский минус
какой-нить тип пробуртфорсит пароль и выложит где-нить ссылку и гугл проиндексирует админку, а может гугл и сам сможет подобрать пароль
3.почему нет ограничений на кол-ва ввода пароля, хотя бы какую-нить куку с попытками вводил или поля с рандомными именами.

и как следствие всего вышеупомянутого, многопоточный брутфорс под твою админку выглядит как HelloWorld!:

Код:

#!/usr/bin/ruby

require 'net/http'

th_count=50

for i in 0..100000 do

        while Thread.list.size>th_count do sleep(1) end

        Thread.new do

                http=Net::HTTP.new('schoolmich.edu.ru.orange.intobservatory.ru', 80)

                pass=i.to_s(36)

                path="/admin/admin.php?password=#{pass}&doGo=%C2%EE%E9%F2%E8"

                resp, data = http.get(path)

                if !(data.include?("<body bgcolor=\"red\">")) 

                        puts "#{pass} SUCCESS"

                        exit 

                end

                puts "#{pass} FAILED"

        end

end

прошел по такой ссылке

Цитата:

http://schoolmich.edu.ru.orange.intobservatory.ru/guest/showtopic.php?topic=430000000

заполнил форму и увидел это:
http://i6.fastpic.ru/thumb/2010/0402...218fd94a5.jpeg

у тебя в самом коде страницы гостевой зашит ответ на капчу

Цитата:

...
document.add.text.value = b;
}

</script>

<form name="add" action='add.php?topic=100&test=43' method=post>
<table border=2 width=627 height=441 bgcolor=#9CBB8A>
<tr>
...

капча была:

Цитата:

Выполните действие: 24 + 19

Ссори, что не ответил сразу. Был немного занят.
Итак:
1. Убрал всякие iframe, img и прочую ересь из поля text.
2. Страницу, с несуществующей темой вы больше не увидите.
3. В скрипте, отвечающем за добавление поста вы тоже больше не увидите раскрытия путей.
4. Над капчей поработал. Придётся посчитать немного, прежде чем её вытащить. ;) Думаю куки ставить бесполезно, всё равно прочитаете.
5. Над админкой сейчас работаю.

Цитата:

Сообщение от Alv

http://schoolmich.edu.ru.orange.intobservatory.ru/guest/showtopic.php?topic=1
Не очень хорошо для гостевой.

Угу. Согласен. Лиса отвалилась мгновенно.

Исправлено! Макс длинна сообщения 3072 символа. Спасибо.

= = = = = = = =

Так, сейчас убрал абсолютно все html-теги из поста. Пытаться писать [] в надежде, что их заменит на <> бесполезно. :D
Длинна сообщения урезана в 2 раза, то есть теперь 1536 символов.
Писать можно только через 0,5-1 минуту, после предыдущего поста.

Сейчас ушёл делать так, что бы нельзя было оставить более 2-х постов подряд с одного айпишника.

PS, насчёт админки... Чо ещё посоветуете сделать? Сейчас сделал: логин добавил, гет убрал, проверка админа по переменной в гете и по кукам так и осталась. Везде отключены сообщения об ошибках. Как бороться с брутом - не знаю. Остаётся только ставить пароль, который вы будете долго брутить... Хотя, он и сейчас такой. :d

http://schoolmich.edu.ru.orange.intobservatory.ru/guest/add.php?topic='%3C/script%3E%3Cscript%3Ealert(document.cookie);%3C/script%3E Пассивка

Цитата:

Сообщение от Red_EYEs

http://schoolmich.edu.ru.orange.intobservatory.ru/guest/add.php?topic='%3C/script%3E%3Cscript%3Ealert(document.cookie);%3C/script%3E Пассивка

Спасибо. Исправлено.

Гостевая. В поле "Сайт" пишм

Код:

http://ya.ru onmouseover=alert(document.cookie)

и получаем кукисы:-)