ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Проверка на уязвимости
Перезагрузить страницу Проверьте плз аналог shorturl
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

Проверьте плз аналог shorturl
  #1  
Старый 05.06.2010, 11:09
Аватар для fbidesign
fbidesign
Новичок
Регистрация: 13.07.2008
Сообщений: 25
Провел на форуме:
19234

Репутация: 0
По умолчанию Проверьте плз аналог shorturl
Добрый день.

Прошу проверить на уязвимости очередной аналог shorturl

http://fbi.pp.ua

Все самописное, скрипт небольшой.
Если у кого будут проблемы с регистрацией - тоже просьба отписать.
(предположительно есть глюк, который у меня не воспроизводится).
по default украинский язык, для выбора другого языка нажмите на флаг.

Заранее спасибо.
 
Ответить с цитированием

  #2  
Старый 07.06.2010, 15:56
Аватар для mr.The
mr.The
Познавший АНТИЧАТ
Регистрация: 30.04.2007
Сообщений: 1,206
Провел на форуме:
4778940

Репутация: 1257


Отправить сообщение для mr.The с помощью ICQ
По умолчанию
Ну во первых, он не сокращает рускоязычные домены.
А потом - домен слишком длинный для shorturl. Имхо.
_ttp://fbi.pp.ua/?do=setlang&lang=ua123
некорректый язык не обрабатывается. чувствую, там error_reporting(0);..

c логином "testtest<b>123</b>" можно зарегистрироваться, но нельзя войти.
 
Ответить с цитированием

  #3  
Старый 07.06.2010, 17:50
Аватар для eLWAux
eLWAux
Members of Antichat - Level 5
Регистрация: 15.06.2008
Сообщений: 941
Провел на форуме:
5111568

Репутация: 2399


Отправить сообщение для eLWAux с помощью ICQ
По умолчанию
генерируем капчу на любой странице,
ответ на вашу капчу хранится в файле:
http://fbi.pp.ua/captcha/cap111.222.333.444.tmp - где 111.222.333.444 - ваш IP
--
автор, ты про сессии в пехопе слышал?
--
зарегатся так и не смог, капчу не принимает
Последний раз редактировалось eLWAux; 07.06.2010 в 17:54..
 
Ответить с цитированием

  #4  
Старый 07.06.2010, 19:04
Аватар для BlackFan
BlackFan
Новичок
Регистрация: 03.01.2009
Сообщений: 27
Провел на форуме:
367442

Репутация: 41
По умолчанию
Пассивная xss при отображении созданной ссылки
Активная xss в My URLs
Уязвимый параметр "Короткая ссылка"

Пассивная xss при регистрации с ошибкой (Например, если неправильно ввести каптчу)
Уязвимые параметры "E-mail", "Имя"


Раскрытие содержимого каталога
http://fbi.pp.ua/images/
http://fbi.pp.ua/captcha/


Можно сделать ссылку, которая редиректит сама на себя.
Можно сделать ссылку со своим коротким именем без регистрации.


И капча какая-то неадекватная)
Например картинка

А ответ к ней был AEHNQ
Последний раз редактировалось BlackFan; 07.06.2010 в 21:55..
 
Ответить с цитированием

  #5  
Старый 11.06.2010, 01:33
Аватар для fbidesign
fbidesign
Новичок
Регистрация: 13.07.2008
Сообщений: 25
Провел на форуме:
19234

Репутация: 0
По умолчанию
спасибо за обнаруженные глюки.

Цитата:
Сообщение от mr.The  
он не сокращает рускоязычные домены.
было связано с проверкой корректности url. исправил. теперь туплю какого черта в базу пишутся вопросительные знаки когда я черным по белому везде колировку cp1251 прописал, что в поле таблицы, что в таблице. что в базе. что collation_connection ... раньше такой фокус работал...

Цитата:
Сообщение от mr.The  
А потом - домен слишком длинный для shorturl. Имхо.
ну в этой зоне минимум 3 символа - ограничение администратора домена. а вообще какая разница, лишь бы правильно раскрутить.

Цитата:
Сообщение от mr.The  
_ttp://fbi.pp.ua/?do=setlang&lang=ua123
некорректый язык не обрабатывается. чувствую, там error_reporting(0);..
за проверку спс но там если язык не соответствует одному из существующих lang файлов то берется default без вывода сообщений об ошибке.

Цитата:
Сообщение от mr.The  
c логином "testtest<b>123</b>" можно зарегистрироваться, но нельзя войти.
fixed. нельзя зарегистрироваться =)

Цитата:
Сообщение от BlackFan  
Пассивная xss при отображении созданной ссылки
Активная xss в My URLs
Уязвимый параметр "Короткая ссылка"
Как следствие возможности сохранить html в базе. прикрыл.

Цитата:
Сообщение от BlackFan  
Пассивная xss при регистрации с ошибкой (Например, если неправильно ввести каптчу)
есть

Цитата:
Сообщение от BlackFan  
Раскрытие содержимого каталога
http://fbi.pp.ua/images/
http://fbi.pp.ua/captcha/
тестил на локалхосте, забыл что серв выдает листинг...

Цитата:
Сообщение от BlackFan  
Можно сделать ссылку, которая редиректит сама на себя.
идея хорошая, не предусмотрел...

Цитата:
Сообщение от BlackFan  
Можно сделать ссылку со своим коротким именем без регистрации.
спс, исправил

Цитата:
Сообщение от BlackFan  
И капча какая-то неадекватная)
На капче ясно написано расставить символы в определенном пордке. Это чтобы антикапча не была перегружена

Цитата:
Сообщение от eLWAux  
автор, ты про сессии в пехопе слышал?
слышал, но так интереснее

Цитата:
Сообщение от eLWAux  
зарегатся так и не смог, капчу не принимает
Символы расставлены в нужном порядке?
вот это по ходу тот самый глюк который у меня ни разу не проявлялся... надо както его выловить
после открытия страницы регистрации в другом окне браузера не открывали другую страницу регистрации или abuse report?
 
Ответить с цитированием
Ответ

« Предыдущая тема | Следующая тема »

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
otdel.ca - Проверьте плз ReduKToR Проверка на уязвимости 7 18.04.2010 12:25
Звуковые и диагностические сообщения BIOS и элементарные способы их устранения. rid3r~man Аппаратное обеспечение 10 01.03.2010 21:21
Проверьте besticq плз Ridikh Проверка на уязвимости 17 09.02.2008 00:05



TEST QR: []
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ