По прозьбе администратора сайта www.free-park.info (Ибрагима). Прошу протестить на уязвимости сайт!!! www.free-park.info Конечно за все ваши коментр. будет +
ещё одна активная xss в сообщении в блоке: http://free-park.info/_zzz/ + http://free-park.info/_zzz/news/nid-162/index.html + онаже в названии походу. http://free-park.info/blogs/top/ т.е при просмотре списка блогов - тоже вылетает алерт. при просмотре профиля - показывается список блогов... опятьже xss - активная. http://free-park.info/options/view/6.html при просмотре своих блогов тоже активная xss http://free-park.info/options/my_blogs/ правда она доступна только тебе.. ну и пофик) ++ просто xss: http://free-park.info/news/tid-27%22%3E%3Cscript%3Ealert(99)%3C/script%3E/index.html ++ sql inj http://free-park.info/news/tid-27+/index.html Code: 1064 : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'order by 1-- OR b.news_topics_subcat_id = 27 order by 1--) AND a.news_topic_id =' at line 1
в блоге название голосования, код Code: <img src=javascript:alert()> ответы на голосования(только для себя), код Code: "onmouseover="alert()" сообщение в блоге, код Code: [img src=javascript:alert()]
ок огромное спасибо. . . Щас на работе, нету прав чтобы исправить баги, как приеду залатаю . . . . . Репы как пологаеться. . . Жду еще ваших ответов/багов/советов/пожелании.
