ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Проверка на уязвимости
Перезагрузить страницу Проверьте самописный сайт
   
Ответ
Страница 1 из 3 1 2 3 >
 
Опции темы Поиск в этой теме Опции просмотра

Проверьте самописный сайт
  #1  
Старый 20.03.2010, 18:00
Аватар для up3gp
up3gp
Новичок
Регистрация: 19.03.2010
Сообщений: 14
Провел на форуме:
23374

Репутация: 0
По умолчанию Проверьте самописный сайт
Добрый день!
Система полностью написана мной с нуля. Кодер я не опытный и боюсь, что есть дыры.

Сайт: http://up3gp.info
 
Ответить с цитированием

  #2  
Старый 20.03.2010, 22:01
Аватар для S00pY
S00pY
Познающий
Регистрация: 24.04.2007
Сообщений: 92
Провел на форуме:
2621544

Репутация: 412
Отправить сообщение для S00pY с помощью ICQ
По умолчанию
passiv xss
up3gp.info/obmen.php?file="><script>alert()</script>
дайте тестовый акк... регаться впадло (
Последний раз редактировалось S00pY; 20.03.2010 в 22:05..
 
Ответить с цитированием

  #3  
Старый 20.03.2010, 22:11
Аватар для up3gp
up3gp
Новичок
Регистрация: 19.03.2010
Сообщений: 14
Провел на форуме:
23374

Репутация: 0
По умолчанию
Login: test
Pass: test
 
Ответить с цитированием

  #4  
Старый 20.03.2010, 23:36
Аватар для noxjoker
noxjoker
Познающий
Регистрация: 07.08.2009
Сообщений: 85
Провел на форуме:
705829

Репутация: 53
Отправить сообщение для noxjoker с помощью ICQ
По умолчанию
up3gp.info/obmen.php?file="><script>alert(document.cookies)</script>
 
Ответить с цитированием

  #5  
Старый 20.03.2010, 23:51
Аватар для up3gp
up3gp
Новичок
Регистрация: 19.03.2010
Сообщений: 14
Провел на форуме:
23374

Репутация: 0
По умолчанию
Цитата:
Сообщение от noxjoker  
up3gp.info/obmen.php?file="><script>alert(document.cookies)</script>
ну так ведь код не записывается никуда. Но все равно профильтрую

_____
ЧТО стало с аватаром? Где там дыра?
 
Ответить с цитированием

  #6  
Старый 21.03.2010, 08:39
Аватар для W@r.N0i$e
W@r.N0i$e
Участник форума
Регистрация: 02.06.2009
Сообщений: 143
Провел на форуме:
343507

Репутация: 114
По умолчанию
Пути:
Заходим на http://up3gp.info/style/
Получаем:

Код:
Warning: include_once(sys/config.inc.php) [function.include-once]: failed to open stream: No such file or directory in /home/[path]/style/index.php on line 3

Warning: include_once() [function.include]: Failed opening 'sys/config.inc.php' for inclusion (include_path='.:/usr/local/php5/lib/php') in /home/[path]/style/index.php on line 3

Warning: mysql_query() [function.mysql-query]: Can't connect to local MySQL server through socket '/var/lib/mysql/mysql.sock' (2) in /home/[path]/style/index.php on line 6

Warning: mysql_query() [function.mysql-query]: A link to the server could not be established in /home/[path]/style/index.php on line 6

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/[path]/style/index.php on line 7

Fatal error: Call to a member function assign() on a non-object in /home/[path]/style/index.php on line 10
 
Ответить с цитированием

  #7  
Старый 21.03.2010, 12:03
Аватар для up3gp
up3gp
Новичок
Регистрация: 19.03.2010
Сообщений: 14
Провел на форуме:
23374

Репутация: 0
По умолчанию
Цитата:
Сообщение от W@r.N0i$e  
Пути:
Заходим на http://up3gp.info/style/
Получаем:

Код:
Warning: include_once(sys/config.inc.php) [function.include-once]: failed to open stream: No such file or directory in /home/[path]/style/index.php on line 3

Warning: include_once() [function.include]: Failed opening 'sys/config.inc.php' for inclusion (include_path='.:/usr/local/php5/lib/php') in /home/[path]/style/index.php on line 3

Warning: mysql_query() [function.mysql-query]: Can't connect to local MySQL server through socket '/var/lib/mysql/mysql.sock' (2) in /home/[path]/style/index.php on line 6

Warning: mysql_query() [function.mysql-query]: A link to the server could not be established in /home/[path]/style/index.php on line 6

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/[path]/style/index.php on line 7

Fatal error: Call to a member function assign() on a non-object in /home/[path]/style/index.php on line 10
странно этого файла там вообще быть не должно

__
А вы не будете показывать где дыра? Я до сих пор не понял фокус с аватаром...
 
Ответить с цитированием

  #8  
Старый 21.03.2010, 13:50
Аватар для W@r.N0i$e
W@r.N0i$e
Участник форума
Регистрация: 02.06.2009
Сообщений: 143
Провел на форуме:
343507

Репутация: 114
По умолчанию
Еще пути:
Заходим под тестовым акком. Потом в куки. Добавляем к сессии символы !@#$%^&*()/
Перезагружаем страницу.
Видим во всей красе:
Код:
Warning: session_start() [function.session-start]: The session id contains illegal characters, valid characters are a-z, A-Z, 0-9 and '-,' in /home/[path]/html/index.php on line 2

Warning: session_start() [function.session-start]: Cannot send session cookie - headers already sent by (output started at /home/[path]/html/index.php:2) in /home/[path]/html/index.php on line 2

Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at /home/[path]/html/index.php:2) in /home/[path]/html/index.php on line 2
�u�eh�5���J!%�r��B;��Z�%L|�&&�a|#�6X������{�9�F=o��q��N��� �٥{=�L�-ςy�s���xMA�0������㪪Z���I����O{��Ԉ�n��G2������yDk5��р�.%� �R�P���k�1����pY�����DT�Ǝ��ؙ������K'zЎ��M��6���\T���?���>��z�J�4,IH�y�0<�k��� Ļ��S�
 
Ответить с цитированием

  #9  
Старый 21.03.2010, 14:04
Аватар для Nightmarе
Nightmarе
Познавший АНТИЧАТ
Регистрация: 29.04.2007
Сообщений: 1,189
Провел на форуме:
5749763

Репутация: 1680


Отправить сообщение для Nightmarе с помощью ICQ
По умолчанию
ставь в скрипты в начале код:
error_reporting(0);
Это тебе все раскрытия и проблемы с куками закроет.
XSS фильтруется через htmlspecialchars();
 
Ответить с цитированием

  #10  
Старый 21.03.2010, 14:56
Аватар для up3gp
up3gp
Новичок
Регистрация: 19.03.2010
Сообщений: 14
Провел на форуме:
23374

Репутация: 0
По умолчанию
Цитата:
Сообщение от Nightmarе  
ставь в скрипты в начале код:
error_reporting(0);
Это тебе все раскрытия и проблемы с куками закроет.
XSS фильтруется через htmlspecialchars();
это ве я использую, просто в категорию style файл index.php попал случайно. И в него не подгружался файл в котором указан error_reporting(0);

я все еще не могу понять как под акаунт тест удалось загрузить 2 картинки разных форматов. Видимо придется переписать функцию

___________________
А иньекций и нет?)
 
Ответить с цитированием
Ответ
Страница 1 из 3 1 2 3 >

« Предыдущая тема | Следующая тема »

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Раскрутка сайта heks Статьи 15 15.02.2009 19:51



TEST QR: []
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ