Тестирование портала.

Нужно протестировать http://test.yo-host.ru

Тест на все (в пределах портала, другие сайты на сервере не нужно). Пишите все орфографические ошибки, кроме новостей (Они для теста).

За серьезные баги возможно даже материальное вознаграждение. При регистрации дается 1000 рублей для теста всех (даже платных) функций сайта. Всем участникам + макс в любом случае.

Спасибо.

 

многих разделов нету(типа реклама на сайте и т.п)
ну думаю это временно, также:
http://test.yo-host.ru/users/cp/balance_histrory/
Block empty not found in user.tpl

ACTIVE XSS
при отправке личного сообщения в поле заголовок
========================================
время от времени выпадает:

Code:

Warning: kernel::require_once(public_html/system/class.user.php) [function.kernel-require-once]: failed to open stream: No such file or directory in public_html/system/kernel.php on line 91

Fatal error: kernel::require_once() [function.require]: Failed opening required 'system/class.user.php' (include_path='.:/usr/local/lib/php') in public_html/system/kernel.php on line 91

=======================================
ADD №3
даж незнаю хорошо это или плохо, но при попытке как либо обойти фильтрацию против xss например:
<img src=javascript:alert('ok')>
- это просто переставляет отображаться, т.е. например если пм с таким заголовком отправить - его можно будет прочесть только сформировав спец урл.. пока писал понял - это не баг, это фича)

 

fixed.

 

это наверно когда файл обновлялся.

 

Думаю все понятно

 

Вот еще

 

Можно перебирать юзеров в параметре to_user, просто циферки подставляешь..мож не особо опасно, но есть такое)

 

ну и что.

 

Ну прост база юзернеймов хз..

А ещё он пропускает формат .php%00.jpg при заливке картинок в объявление, но там название похоже меняеца автоматом на порядковый номер, или это просто пока так сделано.

 

нельзя редактировать свои аукционы и объявления. GreenBear капча очень простая
2n0ne
http://forum.antichat.ru/showpost.php?p=513640&postcount=6

 

при создании аукциона или объявления можно загрузить картинку со скриптом.

 

http://test.yo-host.ru/users/cp/board/?del=2

если не ошибаюсь, можно удалить любое объявление, даже не свое.

 

нет.. я тестил удаляет только свои
капча не всегда генерит разные картинки

еще с снятием денег недоделки.. в истории операций пишет

а на счету 997.. или это одна и та же операция?

 

нет. ошибка в коде.. спасибо. на сегодня лимит плюсов исчерпан, так что завтра)

код у капчи меняется только после совершения операции.

 

Code:

<meta Content-type: text/plain; charset=windows-1251>

поставь в http://test.yo-host.ru/users/register_form/, когда вылетают ошибки, там ясно что

 

http://test.yo-host.ru/photo/preview/97.png/

раскрытие путей при неправильном формате картинки

 

Эт ничего думаю в долгу не останешься)

Зарегил нового пользователя, дальше

ввожу в поле лог и пасс и пытаюсь зайти под своим страрым акком с неправильным пассом. дальше

Вверху

Ну и меню.
Мелочь, а не приятно.
Еще сделай КНОПКУ выходи, я по началу не мог понять как выйти, у меня рисунки кешируются. Думаю, это не "безопастно". Ведь могут просто не увидеть и закрыть окно браузера с кукисами, а там ведь деньги, дальше все понятно.

 

в коде страницы видно слово на капче.

 

)))) забыл убрать.

 

с количеством сообщений в пм грабли..
то не правильно отображает, то вообще минусы

http://test.yo-host.ru/auction/close/39/
http://test.yo-host.ru/auction/open/39/
не коректный шаблон =)