ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
14.04.2009, 20:46
|
|
Участник форума
Регистрация: 31.12.2007
Сообщений: 279
Провел на форуме:
1725509
Репутация:
114
|
|
Проверьте profopros.info
Собственно сайт для автоматизации работы мне.
Он автоматизирует управление заявками.
Поэтому просьба проверить на баги.
zhehek 12345
Заранее спасибо
Последний раз редактировалось -=Zhenek=-; 14.04.2009 в 21:30..
|
|
|
14.04.2009, 22:39
|
|
Постоянный
Регистрация: 27.07.2008
Сообщений: 614
Провел на форуме:
4532332
Репутация:
1196
|
|
пассивная xss
уязвимое поле :рассылка
пример:<script>alert(/xss/)</script>
Последний раз редактировалось L I G A; 14.04.2009 в 22:42..
|
|
|
|
14.04.2009, 22:45
|
|
Banned
Регистрация: 14.01.2009
Сообщений: 515
Провел на форуме:
1996429
Репутация:
468
|
|
SQL ENJECTON http://profopros.info/index.php?do=statya_more&id=3+union+select+1,versi on(),user(),4,5+--
|
|
|
|
14.04.2009, 22:45
|
|
Members of Antichat - Level 5
Регистрация: 01.04.2007
Сообщений: 1,268
Провел на форуме:
10046345
Репутация:
4589
|
|
SQL-INJ
http://profopros.info/index.php?do=news_more&id=-1+UNION+SELECT+1,2,3,version(),5,6+--+-
Активная XSS в гостевой
Код:
[img]javascript:alert()[/img]
Пассивная XSS
http://profopros.info/subscribe/addemail.php?email=<script>alert()</script>
Дефолтный пароль на админку подписки на рассылку
http://profopros.info/subscribe/admin.php?pswrd=admin
SQL-INJ в регистрации
Регаемся с ником логин','пароль',version(),'1231','111', '111','111','111')#
Ваш Логин: 222
Посл. ip :xxx
Счет : 1231 р. [+]
В профиле -
Почтовый ящик: 5.0.67-percona-highperf-b7-log
Примерно так же и в смене пароля в профиле.
Последний раз редактировалось BlackSun; 14.04.2009 в 23:48..
|
|
|
|
14.04.2009, 23:53
|
|
Постоянный
Регистрация: 29.09.2007
Сообщений: 617
Провел на форуме:
3250478
Репутация:
999
|
|
Активка(XSS) в подачи заявок...
В описание:
"><script>alert('XSS by Hormold. Cookie saved');</script><h1>xss</h1>
В поле email можно так:
Удаче в бизе!
----------------------------
BlackSun: активная она только для того, кто подавал заявку, насчет админа нет уверенности
UPD: проверил, у админа пашет.
Последний раз редактировалось BlackSun; 15.04.2009 в 00:21..
|
|
|
|
14.04.2009, 23:55
|
|
Познавший АНТИЧАТ
Регистрация: 24.06.2008
Сообщений: 1,996
Провел на форуме:
6075534
Репутация:
2731
|
|
Расскрытие путей почему-то выбило:
http://profopros.info/subscribe/admin.php
Код:
Parse error: syntax error, unexpected '<' in [path]/profopros.info/subscribe/config.php on line 3
|
|
|
|
15.04.2009, 00:03
|
|
Постоянный
Регистрация: 04.07.2007
Сообщений: 827
Провел на форуме:
2504528
Репутация:
882
|
|
хе, знакомый двиг
когда то покупал первую версию
вот это удали http://profopros.info/db.sql
\\\\\\\\\ мля у ТСа и покупал))))))))
Последний раз редактировалось CrazyStudentS_Mi}{; 15.04.2009 в 00:08..
|
|
|
|
15.04.2009, 00:10
|
|
Познавший АНТИЧАТ
Регистрация: 24.06.2008
Сообщений: 1,996
Провел на форуме:
6075534
Репутация:
2731
|
|
http://profopros.info/index.php?do=show_profile&login=admin
вот это крутой двиг. пассы нашару всем раздаем =)
|
|
|
|
15.04.2009, 01:08
|
|
Участник форума
Регистрация: 29.11.2007
Сообщений: 116
Провел на форуме:
283596
Репутация:
88
|
|
Файл test.php раскрывает пути, но это я так понимаю временный файл.
readme.txt, db.sql - тоже какие-то сомнительные файлы с описанием
Админка для счетчика counter/admin.php и снова сомнительный файл с инфой
counter/info.txt
Раскрытие путей в /subscribe/addemail.php в переменной email
И если в хидере запроса задать в User-Agent: client-ip: например 123456789
Так же если в кукисах PHPSESSID оставить пустой.
Вообщем ничего такого сверх интересного, а остальное уже написали выше.
|
|
|
|
15.04.2009, 03:45
|
|
Участник форума
Регистрация: 31.12.2007
Сообщений: 279
Провел на форуме:
1725509
Репутация:
114
|
|
хе, знакомый двиг
когда то покупал первую версию
вот это удали http://profopros.info/db.sql
\\\\\\\\\ мля у ТСа и покупал))))))))
Да..Тока от старого двига остался только дизайн))) он переделан на 99%.
спс базу переименовал %)
http://profopros.info/index.php?do=show_profile&login=admin
вот это крутой двиг. пассы нашару всем раздаем =)
А это видимо последствия теста) Ща профиксим
Файл test.php раскрывает пути, но это я так понимаю временный файл.
readme.txt, db.sql - тоже какие-то сомнительные файлы с описанием
Админка для счетчика counter/admin.php и снова сомнительный файл с инфой
counter/info.txt
Раскрытие путей в /subscribe/addemail.php в переменной email
И если в хидере запроса задать в User-Agent: client-ip: например 123456789
Так же если в кукисах PHPSESSID оставить пустой.
Вообщем ничего такого сверх интересного, а остальное уже написали выше.
да тест временный.Остальные тоже. Все фикс.
Всем спасибо жду еще) в течении часа профиксю все баги.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
