https://www.forum.antichat.ru/showthread.php?p=1842477

Подсчёт
Дорк: "Site powered by GuppY".
Результатов в google: 210 000.
Уязвимости: 2 passive XSS (полуактивку посчитал всё-таки за пассивку), 3 active XSS, 2 CE (одна в админке).
Баллы: 210*(6+5.5*3+10*1.3)=7455.

Есть еще вопрос, все ссылки на новые найденные уязвимости в одном сообщении писать, или каждую уязвимость в новом посте?

в этой теме 1 линк на ресерч выбранного двига.
А по мере нахождения новых багов, редактируешь пост куда ведет линк. Когда уверен, что выжал все из двига, оформляешь в этой теме расчеты.

Так, пока в вариантах SMF или Joomla, завтра скажу конкретно, а сейчас спать, спать, спать..

UPD: сраная сессия. нихрена я не делаю. Ладно, сейчас возьму движок попроще, "Forum Software: Burning Board" да поковыряю.

UPD2. Всё-таки вы плохо выбрали время для конкурса, сессия это зло. Вообщем за свободный вечер я нашел 2 раскрытия путей и 1 активную xss(с небольшими извратами) в Burning Board.

По баллам выходит ~
1*0.8*5.5*(912 000/1000)=4012,8
1*0.3*10*(912 000/1000)=2736 - выполнение произвольного кода

6748,8



Двиг платный, поэтому скачан отсюда: _ttp://share4all.com/2009/10/23/burning-board-3-1-volcano/
( Прямой линк на скачку, по просьбе IceAngel_ __tp://dl.dropbox.com/u/3662016/wbb%203.1.0%20PL1%20by%20AsoraX.zip )

Обзор уязвимостей:
https://forum.antichat.ru/showthread.php?t=43961

Мы тут Сессия раз в полгода заставляет учится )))

UPD: Движок взятый для исследования etomite v1.1

UPD2:Тема с аудитом движка
7*1*0,3*(114000/1000) = 239,4
7*1*0,3*(114000/1000) = 239,4
7*1*0,3*(114000/1000) = 239,4
6*1*0,3*(114000/1000) = 205,2

UPD3:
6*0,3*1*(114000/1000) = 205,2
7*0,7*1*(114000/1000) = 558,6

UPD4:
7*1*0,3*(114000/1000) = 239,4

UPD5:
7*1*0,3*(114000/1000) = 239,4
5,5*1*0,3*(114000/1000) = 188,1;

Итого: 2354,1 б

Coppermine Photo Gallery 1.4.2.5

1 RulleR
Pligg CMS
29170 б

===================
2 Root-access
GuppY CMS
7455 б

===================
3 mr.The
Burning Board
6748 б

===================
4 mailbrush
Clean Nuke 1.1
3079 б

===================
5 [NiGHT]DarkAngel
etomite v1.1
2354 б

========================================

Вроде так господа? Ни у кого возражений нет?

Ну а вообще -- спасибо большое всем принявшим участие, мы вобщем ожидали большей активности, и хотели продолжить немного конкурс, но судя по кол-ву участников продвижение по группам особого интереса не вызывает, ну что-ж нет так нет.

Ещё раз спасибо, тем кто принял участие кто не выиграл думаю в любом случае получили опыт, ну и конечно внимание на себя обратили, моё во всяком случае (как впрочем и те, кто обещал и не сделал )

Если у кого есть претензии\соображения\прос то выссказывания по проведению выссказываемся, тему открыл.

PS Айс подонок, где ты есть???!!!111. Кто собирался его закрывать в это время? )

Ждем, Iceangel_ он бонус обещал,как сладкое )))) ... Огромное спасибо Вам за проведенный конкурс ... ведь главное не победа,а участие ... жаль что не собираетесь часто проводить такие конкурсы.

PS Раз людей было очень мало, то как написал jokester "продвижение по группам особого интереса не вызывает", то получается всех кого это интересует нашли время и поучаствовали в данном конкурсе. Мое предложение взять в RoA всех с испытательным сроком. Но как говорится решать не нам,на все воля модераторов, а это просто предложение.

Есть лишь просто высказывание: спасибо за конкурс, жаль не было активности и азарта, но опыт всё равно получил)

P.S. Всем чмоке =)