http://spacom.ru
 

Привет, пощупайте на уязвимости плз.

Регистрация не требует подтверждения.

прочти _ttp://forum.antichat.ru/thread39721.html
без значка античата некто искать баги небудет

magic_quotes_gpc отключи. Все фильтруй вручную.

Сменил в настройках пароль на теперь не могу залогинится.

Зарегистрировал ник:
Не могу залогинится

При регистрации длинного ника с длинным паролем, еррорка вылезла:

Это значит, что MySQL работает в режиме strict (sql_mode=STRICT_ALL_TABLES или sql_mode=STRICT_TRANS_TABLES), поэтому при вставке данных, превышающих максимально допустимую длину колонки, MySQL будет выдавать ошибку, в обратном случае - будет просто обрезать, вызывая warning (для веб-приложения невидим). Более безопасен режим strict, поэтому его убирать не надо, нужно лишь убрать вывод ошибки мускула. Кстати с этой особенностью мускула связан интересный вид уязвимостей:
http://raz0r.name/vulnerabilities/sql-column-truncation-security/

Нет капчи при входе=возможность брута.

сайт=проксик... spacom.ru:80

Трэйс... (с)

/manual/- мануал апача.
сам апач версии 2.2.4 - устарел(уязвимости)

MyWebServer 1.0.2 дырявый(тут, и тут)

Проверь куки /?&key=kkiruc (описание)

CSRF: login.php оба параметра уязвимы

/index.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000

Есть значок античата на главной прямо в центре.

всем пасиба, буду копать.

Желатильно пофиксить на серваке дырки, обновить PHP и Apache
Я так понимаю это просто комп, а не хостинг, потому и дыры, а именно:

PHP Remote Arbitrary Location File Upload Vulnerability
Zend_Hash_Del_Key_Or_Index Vulnerability
PHP HTML Entity Encoder Heap Overflow

Все это из-за самого PHP

Есть листинг и доступ к документации:
/manual/
/icons/

Ну это вообщем-то не простые в реализации уязвимости, и не совсем к сайту относится, но все же.

это абсолютно ничего не дает. придирка лишь бы придраться.

bombeg
Это не придирка, а подсказка человеку более защитить сервак, потому что это не хостинг, так что не будем.

http://spacom.ru/?act=planet&id=xss
http://spacom.ru/?act=map&id=xss