resport.jino-net.ru

Наша команда собрала cms-ку на php, но вот надо бы её проверить на уязвимости, по адресу http://resport.jino-net.ru лежит демо вариат слегка заполненный контентом, надеюсь никаких уязвимостей не обнаружите, хотя об античате ходят легенды (;

 

Неужели нет ни одной уязвимости=)
Вообщем кто найдет тотальную ошибку или уязвимость получит приватную версию
нашей cms (10$) (;

 

уже страшно) что там проверять если ядро пхп бб и все баги тоже отуда.

 

А поподробней можно? Просто реально интересно где у нас уязвимости
и при чем тут двиг phpbb, это просто скин cms-ки заделан под стиль phpbb=) не зря у тя репа в минусе)) теперь другой скин поставил...

 

Похоже на скулю

Но сделать ничего нельзя, если я не ошибаюсь.

 

дык походу вывод не из скули идет а просто из файла...

 

просто админка)
http://resport.jino-net.ru/admin

 

А тогда тебе придётся проверить некоторые хостёрские прибамбасы.

 

Ух че творится))

Попытка атаки администраторской панели:

IP: 80.***.24.47 10.07.2007 23:13
IP: 87.***.15.8 10.07.2007 23:13 \' or 1=1/*
IP: 87.***.15.8 10.07.2007 23:12 \' or 1=1--
IP: 83.***.8.191 10.07.2007 23:04 \' or 1=1/*

Кто себя узнает?=)

 

http://resport.jino-net.ru/admin/admin.php
http://resport.jino-net.ru/admin.php
Можно поставить на брут легко...
Про 30 секунд написано для испуга =)
Багов не нашел

 

Ну я здесь был Хотел админку проверить)

 

Так че, неужели всё чисто=) Млин в крутых проектах есть уязвимости а у нас , хотя я понимаю что у нашей cms не так много функций как допустим у форумов phpbb или там ipb, но всё равно приятно... спасибо всем кто потратил время чтоб наш проект стал безопасней.

 

не обольщяйся

 

давай купим у тя ЦМС за 10$ и твой сайт рухнет

 

Друг, если хочешь я могу и исходники выложить (; В принципе я её не разрабатывал, но я занимаюсь её продвижением и улучшением, и если это поможет избавиться от уязвимостей, то вот исходники
http://inxak.clan.su/soft/atcms-beta.rar
Надеюсь на результат...

 

Так.
Беглым взглядом нашёл вот чё.
1. SQL-инъекция. Сценарий post.php

Code:

[B]код[/B]

if ( $ind !== '' )
	{
		db_query ("insert into $INFO[db_prefix]book (k_art, user, post, email, url, icq, ip, mesdate)
					values ('$ind', '$name', '$message', '$email', '$url', '$icq', '$ip', '$date')");

Есть возможность произвести SQL-инъекцию.
'$email', '$url', '$icq', '$ip' не проверяется должным образом.

2. Возможность подмены заголовков. Сценарий post.php

Code:

header ("location:index.php?art=$_POST[index]#comment");

Есть возможность добавить новые заголовки.

Копаем дальше, правда я завтра на 15 дней уезжаю.

 

http://resport.jino-net.ru/index.php?art=7

незнаю за что это считать )

 

сайт проверяется античатом...
:-d
мдя... прикольно не спорю ))

 

Мля не сайт проверяется (он почти пустой), а cms которая стоит на этом сайте! Если ты не можешь найти никаких уязвимостей, то нах отписывать никому не нужные посты?!!!

 

в cms бесит то что видимых таблиц вот например тут все в одно смешивается http://resport.jino-net.ru/index.php?art=13 phpBB стиль не ужели не могли придумать что нибудь другое? сори конечно что не ф тему ибо тут уязвимости ну пойми критика и все тут