Форум АНТИЧАТ
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Проверка на уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=110)
-   -   Прошу проверить скрипт (https://forum.antichat.xyz/showthread.php?t=66552)

-=Zhenek=- 06.04.2008 05:36
Прошу проверить скрипт
 
http://alhimiya.in/shop/index.php

Незнаю почему предыдущую тему удалили. Вот решил запостить заного...


http://alhimiya.in/shop/ проверять только,то что находится в этой папке... http://alhimiya.in/ сюда можно не лезть тут залиты файлы джумлы,в них нет ниче интересного...


Дизайн магазина сперт у укоза,но это временно пока мне разрабатывают дизайн..

Даю для пробы аккаунты:

user:qwerty

Логи не ведутся, временно отключил для вас =)) ..

Заранее спасибо....

fuckthesystem 06.04.2008 12:13
Невозможно найти удаленный сервер

n0ne 06.04.2008 12:23
В гостевой можно проинжектить html код в поле mail.

-=Zhenek=- 06.04.2008 13:17
Цитата:
В гостевой можно проинжектить html код в поле mail.
Спасибо исправил....

Цитата:
Невозможно найти удаленный сервер
да нет.. все работает... Может у вас че с инетом?? Попробуйте еще раз :-)

n0ne 06.04.2008 18:21
Капча очень простая и распознаеца элементарным алгоритмом с пробивом почти 100%. И маленькая очень ( ну это уже дизайн и удоство:) ).

з.ы. маленькая в смысле мелкая...ну т.е. просто размер картинки)

Mobile 06.04.2008 20:55
Мне некоторое время назад продавец этого движка давал его на проверку, так вот там скули были везде... тоесть фильтрации небло некакой. Незнаю, исправленны тут скули илил нет. Условие их работы magic_quotes=off а тут на хосте "on"

-=Zhenek=- 07.04.2008 01:11
Mobile все переменные проходят через mysql_real_escape_string . Думаю скуль быть недолжно, но всетаки неуверен...

P.S я тебе его и давал на проверку...

dmnt 07.04.2008 02:00
Покупка совершена!
Куплено:
gamzaev-ilyas@mail.ru:xxx655
Jura1975@mail.ru:xxx2007
alinchik.v@mail.ru:xxx4
andrey_2007.dom@mail.ru:xxx93184
a.gavin@mail.ru:xxx68
amkosss@mail.ru:xxxju
art.home@mail.ru:xxxa
kioma-92@mail.ru:xxxin
demas11@mail.ru:xxx1298
katerina_rozovik@mail.ru:xxxzik

xxx - это я заменил
потянет на уязвимость?

-=Zhenek=- 07.04.2008 08:25
Цитата:
потянет на уязвимость?
Да,но как ты это сделал????

они не числятся в списке купленных... Получается доступ к базе..

Напиши в ПМ каким образом?


Цитата:
Капча очень простая и распознаеца элементарным алгоритмом с пробивом почти 100%
А капчу я потом переделаю.. тут 2 мин работу..Поставлю ккапча и все))))

Блин.. репутацию поставил а она флагом желтым((наверно молодой я тут еще))))

Ponchik 07.04.2008 11:32
Подозрение на SQL inj
http://alhimiya.in/shop/index.php?do=buy
Очень страно себя ведёт... Пишу 1 пишет нет средств, пишу 1+ORDER+BY+1/* снова нет средств пишу 1+ORDER+BY+111111111/* и опять таки нет средств, intval? Но я пишу 0, оно ничё не выводит, пишу 0/* пишет Покупка совершена! М? :)
==============
После добовления месаги в отзывы надо перекидывать юзверя, если обновить страницу снова добавится отзыв
==============
В ПМ каптча не обновляется, хоть 100 месаг за 1 каптчу можно + таже байда что в отзывах, Crl+R = +1 сообщение, после добовления надо удалять каптчу
==============
Подозрение на SQL Inj
http://alhimiya.in/shop/index.php?del=2&id=65 - так удаляет
http://alhimiya.in/shop/index.php?del=2'&id=65 - так нет
Щупать влом
==============
В табле "Заказать" всёвремя написано "Вы заполнили не все поля!" да я их и не собирался заполнять :rolleyes:
==============
Х**себе
http://alhimiya.in/shop/index.php?del=3&id=1
Пользователь успешно удалён? :eek:
==============
XSS
http://alhimiya.in/shop/index.php?do=cards
И ваще помоему это админское

Добавил денег
Код:
Номер карты: 123
Пин-код : 123
Где куплена : 123
Наминал: 9999999 р.
Бонус: 9999999 р.
Итого зачислено : 19999998 p.
Карта успешно активирована
Случайно вышел, войти немогу т.к. удалил пользователя

/me валяеццо :D :D :D :D


Время: 02:22
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице