Форум АНТИЧАТ - Много возможностей

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Проверка на уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=110)

- - Много возможностей - мало шансов (https://forum.antichat.xyz/showthread.php?t=64172)

Много возможностей - мало шансов

И снова здравствуйте, господа взломщики ;)

Опять прошу помощи в проверке безопасности одного своего проекта. Это доска объявлений, которую я написал полностью с нуля, не используя никаких движков и сторонних кодов.

Поле для деятельности не маленькое. Успехов всем, кто возьмется за это нелегкое дело ;)

Доска объявлений: http://doua.com.ua

Я нашол xss у тебя ))
Login : LAEOT
Pass: bermuda
http://doua.com.ua/edit_profile/43/
XSS уже есть один,ща дальше искать буду :)

P.s : Нелегое дело? - я за 3 минуты нашол ))

Edit:
http://doua.com.ua/240/
Тест = я.
Ошибка : Можно ставить пустые коментарий => Просто супер... : )

http://doua.com.ua/sub/5/
=> я создал пустое заевление там, тоже не проверяетсья.
ПРИКОЛ : Как в это пустое заевление пoпасть , если оно пустое? )))

http://doua.com.ua/sub/5/
=> я создал обявление : срок обявление НЕуказал :) теперть навечно стоять будет ))) (пока не удалят)

http://doua.com.ua/245/
=> можно писать сколько хочешь текста... вот спамеры обрадуетья ))

===================

Короче полно ошибок в твоем сайте...

Привет, Laeot. Спасибо, что уделил время моему проекту.

Никаких изменений в системе делать не буду, так как не вижу ничего, что меня бы разочаровало в своей системе.

1. Xss: в редактировании профиля я так и не увидел алерта, хотя что-то там явно не так как нужно. За это плюс тебе

2. Можно оставлять пустые комментарии! Ну и что? А если комментарий будет не пустой а, к примеру, с несколькими минусами, знаками подчеркивания или чем-то еще - это будет намного лучше выглядеть? Минус - совсем не ошибка

3. Можно создать пустой объявление в которое нельзя попасть. Если человек намеренно создал такое объявление, то это его проблемы, что в него нельзя попасть. В режиме администратора конечно же все удаляется без проблем. Минус.

4. Если не указать срок хранения объявления, то система не выдает ошибку. Да, ошибка не выдается, просто присваивается значение по-умолчанию (30 дней). Минус - ничего там вечно не висит.

5. Можно писать сколько хочешь текста (на радость спамерам). Во-первых, размер текста ограничен, просто значение довольно большое. Во-вторых, причем тут спамеры? Спам можно и в нескольких строчках помещать - это уже проблемы модерации. Не вижу смысла вообще в ограничении до 255 символов или что-то около того. Минус!

===============

пока найдено пол ошибки приблизительно. Продолжайте, успехов ;)

Laeot, алерт действиетльно не получил, но смог вставить некоторый Html-код в поле при редактирование профиля. Получаешь полноценный +1 ! :)

2 HeeL
Алерт действительно был , а сейчас его нет. Во всяком случае в опере.Сталобыть изменения сделаны были,благодаря Laeot.Если так уверен в своей непогрешимости зачем вообще просить тестировать сайт? Да ,парень написал много глупостей, но это не значит ,что XSS отсутствует.Я думаю ,что нужно более уважительно относиться к людям которые тратят своё время на то ,что нужно тебе.А вобщем и целом сайт не плохой ,что уж тут скажешь.

Я уважительно отношусь, плюсонул и отписался.

А на тестирование выкладываю потому что я не могу проверять все так дотошно, как остальные ;)

Xss был там :)
Я хотел его проверить еще раз но какойто ламер изменил пароль или удалил мой профиль :rolleyes:
К стате про ошибки, ну будут у тебя все время такие пустые топики,сообшение... тебе же трудней жить будет а не мне ;)
Мое дело это показать ошибки... а тебе уж выберать или их видеть и исправить, или поленитсья и мучиться!

Я же говорю - пустые объявления не мешают жить. В профиле админа они удаляются не сложнее чем объявления с заголовком.

http://doua.com.ua/add/
Пытаюсь добавить (естествено с разными проколами) объяаление, не добовляется, ошибку не показывает, шо за нах... Нервирует
P.S. Так и не смог добавить и забил! Врядле сайт с таким добовлением будет популярен :)

Каптча нереально приметивная :rolleyes:

Я очень извеняюсь за флуд _http://doua.com.ua/207/ :D
Каптча после добавления камента не удаляется тоесть за 1 и туже каптчу можно делать скоко хош и чего хош, я вот там тупо enter зажал :p

Раскрытие пути
_http://doua.com.ua/phpmyadmin/themes/darkblue_orange/layout.inc.php убери вобще нафиг phpmyadmin это и брут и ваще много чего плохого! Убери нафег! :mad:
_http://forum.antichat.ru/showpost.php?p=613325&postcount=2 может у тебя и не покатит, н оя те говорю! Пряч его куданить чтоб никто незнал и невидел

Я незнаю на сколько можно верить спайдеру, обычно он никогда не врёт, в общем вот
http://savepic.ru/148629.jpg
Хостинг дырявый :p