Форум АНТИЧАТ - Тестирование портала.

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Проверка на уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=110)

- - Тестирование портала. (https://forum.antichat.xyz/showthread.php?t=54407)

Тестирование портала.

Нужно протестировать http://test.yo-host.ru

Тест на все (в пределах портала, другие сайты на сервере не нужно). Пишите все орфографические ошибки, кроме новостей (Они для теста).

За серьезные баги возможно даже материальное вознаграждение. При регистрации дается 1000 рублей для теста всех (даже платных) функций сайта. Всем участникам + макс в любом случае.

Спасибо.

многих разделов нету(типа реклама на сайте и т.п)
ну думаю это временно, также:
http://test.yo-host.ru/users/cp/balance_histrory/
Block empty not found in user.tpl

ACTIVE XSS
при отправке личного сообщения в поле заголовок
========================================
время от времени выпадает:

Код:

Warning: kernel::require_once(public_html/system/class.user.php) [function.kernel-require-once]: failed to open stream: No such file or directory in public_html/system/kernel.php on line 91



Fatal error: kernel::require_once() [function.require]: Failed opening required 'system/class.user.php' (include_path='.:/usr/local/lib/php') in public_html/system/kernel.php on line 91

=======================================
ADD №3
даж незнаю хорошо это или плохо, но при попытке как либо обойти фильтрацию против xss например:
<img src=javascript:alert('ok')>
- это просто переставляет отображаться, т.е. например если пм с таким заголовком отправить - его можно будет прочесть только сформировав спец урл.. пока писал понял - это не баг, это фича)

Цитата:

время от времени выпадает:

это наверно когда файл обновлялся.

Думаю все понятно

Цитата:

MySQL ERROR: Errno(1064), Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''d00a6c761dde0288e1178a20fe097d52''' at line 1 Line: 48, File: system/class.user.php SQL-Query: SELECT * FROM db_user_sessions where `session_id`='d00a6c761dde0288e1178a20fe097d52'' Please, report

Вот еще(:

Цитата:

Notice: Unsupport image type in public_html/small.php on line 51 Notice: Invalid image resource in public_html/small.php on line 123 Notice: Error rendering image in /public_html/small.php on line 72

Цитата:

http://test.yo-host.ru/users/cp/pm/?make=1&to_user=1

Можно перебирать юзеров в параметре to_user, просто циферки подставляешь..мож не особо опасно, но есть такое)

Цитата:

Можно перебирать юзеров в параметре to_user, просто циферки подставляешь..мож не особо опасно, но есть такое)

ну и что.

Ну прост база юзернеймов :D хз..

А ещё он пропускает формат .php%00.jpg при заливке картинок в объявление, но там название похоже меняеца автоматом на порядковый номер, или это просто пока так сделано.

нельзя редактировать свои аукционы и объявления. GreenBear капча очень простая
2n0ne
http://forum.antichat.ru/showpost.php?p=513640&postcount=6