Игровой проект, прошу проверить на уязвимости.
 

Здравствуйте, меня зовут Дмитрий.
Прошу помочь в поисках уязвимостей игрового сайта (онлайн игры), которая написана не на движке бк и т.д.. а полностью мною с нуля.

Ссылка игры: wolflands.ru

p.s. ссылку на форум на главной повесил. :)

Даёш акк в массы! Мы ленивые, регаться нелюбим!
P.s. Сомневаюсь я что топик стартёр здесь ещё хоть раз появится =\

ак
login: TEST
pass: 1111

Может и несколько необычно но вот такая ХСС
http://www.wolflands.ru/fm/shared_files/avatars/10.mbb
Работает в иэксплорере.
Делал так, залил аватар с этим кодом и нашел файл в котором он хранится. Жаль пхп не выполнило ...

просто аватарка, при заливки имеет разрешение .mbb
тем и защищена что не дает выполнить код ;)

форум честно говоря не моего производства, но и все же не должно быть дыр)

хотелось бы саму игру проверить, во что от руки написано мной)
sql inj и xcc не должны быть)

Так ведь ВЫПОЛНЯЕТ яваскрипт код но только в iexplore. Т.е. хсс есть!

ага хоть и вроде не страшная, так как на самом форуме она не выполняется, нужно только как я понял запускать ее отдельно

*это уязвимость... правда, пассивная, но уязвимость.. по теме, господа =)

Ну так пассив ХСС. Позволит увести куки. В которых есть и логин и мд5 хеш пароля. Куки подменил и все - ты уже другой юзер ;)

http://wolflands.ru/info.php?%3Cscript%3Ealert(1)%3C/script%3E

спасибо, исправил.