Тестирование портала.

Обсуждение в разделе «Проверка на уязвимости», начал(-а) GreenBear, 25.11.2007.

Статус темы:
Тема закрыта для ответов.
  1. GreenBear

    GreenBear наркоман с медалью

    Регистрация:
    7.05.2005
    Сообщения:
    2 784
    Одобрения:
    1 409
    Репутация:
    611
    Нужно протестировать http://test.yo-host.ru

    Тест на все (в пределах портала, другие сайты на сервере не нужно). Пишите все орфографические ошибки, кроме новостей (Они для теста).

    За серьезные баги возможно даже материальное вознаграждение. При регистрации дается 1000 рублей для теста всех (даже платных) функций сайта. Всем участникам + макс в любом случае.

    Спасибо.
     
    #1 GreenBear, 25.11.2007
    В последний раз редактировалось: 25.11.2007
    Это одобряет 1 пользователь.
  2. BlackCats

    BlackCats Elder - Старейшина

    Регистрация:
    1.02.2006
    Сообщения:
    735
    Одобрения:
    630
    Репутация:
    -3
    многих разделов нету(типа реклама на сайте и т.п)
    ну думаю это временно, также:
    http://test.yo-host.ru/users/cp/balance_histrory/
    Block empty not found in user.tpl

    ACTIVE XSS
    при отправке личного сообщения в поле заголовок
    ========================================
    время от времени выпадает:
    Code:
    Warning: kernel::require_once(public_html/system/class.user.php) [function.kernel-require-once]: failed to open stream: No such file or directory in public_html/system/kernel.php on line 91
    
    Fatal error: kernel::require_once() [function.require]: Failed opening required 'system/class.user.php' (include_path='.:/usr/local/lib/php') in public_html/system/kernel.php on line 91
    =======================================
    ADD №3
    даж незнаю хорошо это или плохо, но при попытке как либо обойти фильтрацию против xss например:
    <img src=javascript:alert('ok')>
    - это просто переставляет отображаться, т.е. например если пм с таким заголовком отправить - его можно будет прочесть только сформировав спец урл.. пока писал понял - это не баг, это фича)
     
    #2 BlackCats, 25.11.2007
    В последний раз редактировалось: 25.11.2007
    Это одобряет 1 пользователь.
  3. GreenBear

    GreenBear наркоман с медалью

    Регистрация:
    7.05.2005
    Сообщения:
    2 784
    Одобрения:
    1 409
    Репутация:
    611
    fixed.
     
  4. GreenBear

    GreenBear наркоман с медалью

    Регистрация:
    7.05.2005
    Сообщения:
    2 784
    Одобрения:
    1 409
    Репутация:
    611
    это наверно когда файл обновлялся.
     
  5. gibson

    gibson Elder - Старейшина

    Регистрация:
    24.02.2006
    Сообщения:
    463
    Одобрения:
    248
    Репутация:
    88
    Думаю все понятно

     
    Это одобряет 1 пользователь.
  6. gibson

    gibson Elder - Старейшина

    Регистрация:
    24.02.2006
    Сообщения:
    463
    Одобрения:
    248
    Репутация:
    88
    Вот еще:)
     
    #6 gibson, 25.11.2007
    В последний раз редактировалось модератором: 25.11.2007
  7. n0ne

    n0ne Elder - Старейшина

    Регистрация:
    1.01.2007
    Сообщения:
    580
    Одобрения:
    285
    Репутация:
    -56
    Можно перебирать юзеров в параметре to_user, просто циферки подставляешь..мож не особо опасно, но есть такое)
     
  8. GreenBear

    GreenBear наркоман с медалью

    Регистрация:
    7.05.2005
    Сообщения:
    2 784
    Одобрения:
    1 409
    Репутация:
    611
    ну и что.
     
  9. n0ne

    n0ne Elder - Старейшина

    Регистрация:
    1.01.2007
    Сообщения:
    580
    Одобрения:
    285
    Репутация:
    -56
    Ну прост база юзернеймов :D хз..

    А ещё он пропускает формат .php%00.jpg при заливке картинок в объявление, но там название похоже меняеца автоматом на порядковый номер, или это просто пока так сделано.
     
    Это одобряют 3 пользоветелей.
  10. gibson

    gibson Elder - Старейшина

    Регистрация:
    24.02.2006
    Сообщения:
    463
    Одобрения:
    248
    Репутация:
    88
    нельзя редактировать свои аукционы и объявления. GreenBear капча очень простая
    2n0ne
    http://forum.antichat.ru/showpost.php?p=513640&postcount=6
     
    #10 gibson, 25.11.2007
    В последний раз редактировалось: 25.11.2007
    Это одобряет 1 пользователь.
  11. freddi

    freddi Elder - Старейшина

    Регистрация:
    5.07.2006
    Сообщения:
    416
    Одобрения:
    243
    Репутация:
    145
    при создании аукциона или объявления можно загрузить картинку со скриптом.
     
    #11 freddi, 25.11.2007
    В последний раз редактировалось: 25.11.2007
  12. D=P=CH= MOD=

    D=P=CH= MOD= Elder - Старейшина

    Регистрация:
    15.08.2006
    Сообщения:
    301
    Одобрения:
    195
    Репутация:
    15
    http://test.yo-host.ru/users/cp/board/?del=2

    если не ошибаюсь, можно удалить любое объявление, даже не свое.
     
  13. halkfild

    halkfild Members of Antichat

    Регистрация:
    11.11.2005
    Сообщения:
    365
    Одобрения:
    578
    Репутация:
    313
    нет.. я тестил удаляет только свои
    капча не всегда генерит разные картинки

    еще с снятием денег недоделки.. в истории операций пишет

    а на счету 997.. или это одна и та же операция?
     
    _________________________
  14. GreenBear

    GreenBear наркоман с медалью

    Регистрация:
    7.05.2005
    Сообщения:
    2 784
    Одобрения:
    1 409
    Репутация:
    611
    нет. ошибка в коде.. спасибо. на сегодня лимит плюсов исчерпан, так что завтра)

    код у капчи меняется только после совершения операции.
     
  15. Sn@k3

    Sn@k3 Elder - Старейшина

    Регистрация:
    13.04.2006
    Сообщения:
    1 138
    Одобрения:
    436
    Репутация:
    90
    Code:
    <meta Content-type: text/plain; charset=windows-1251>
    поставь в http://test.yo-host.ru/users/register_form/, когда вылетают ошибки, там ясно что
     
  16. halkfild

    halkfild Members of Antichat

    Регистрация:
    11.11.2005
    Сообщения:
    365
    Одобрения:
    578
    Репутация:
    313
    http://test.yo-host.ru/photo/preview/97.png/

    раскрытие путей при неправильном формате картинки

     
    _________________________
    #16 halkfild, 25.11.2007
    В последний раз редактировалось модератором: 25.11.2007
    Это одобряет 1 пользователь.
  17. gibson

    gibson Elder - Старейшина

    Регистрация:
    24.02.2006
    Сообщения:
    463
    Одобрения:
    248
    Репутация:
    88
    Эт ничего думаю в долгу не останешься)

    Зарегил нового пользователя, дальше
    ввожу в поле лог и пасс и пытаюсь зайти под своим страрым акком с неправильным пассом. дальше
    Вверху
    Ну и меню.
    Мелочь, а не приятно.
    Еще сделай КНОПКУ выходи, я по началу не мог понять как выйти, у меня рисунки кешируются. Думаю, это не "безопастно". Ведь могут просто не увидеть и закрыть окно браузера с кукисами, а там ведь деньги, дальше все понятно.
     
    Это одобряет 1 пользователь.
  18. freddi

    freddi Elder - Старейшина

    Регистрация:
    5.07.2006
    Сообщения:
    416
    Одобрения:
    243
    Репутация:
    145
    в коде страницы видно слово на капче.
     
  19. GreenBear

    GreenBear наркоман с медалью

    Регистрация:
    7.05.2005
    Сообщения:
    2 784
    Одобрения:
    1 409
    Репутация:
    611
    )))) забыл убрать.
     
  20. halkfild

    halkfild Members of Antichat

    Регистрация:
    11.11.2005
    Сообщения:
    365
    Одобрения:
    578
    Репутация:
    313
    с количеством сообщений в пм грабли..
    то не правильно отображает, то вообще минусы :D

    http://test.yo-host.ru/auction/close/39/
    http://test.yo-host.ru/auction/open/39/
    не коректный шаблон =)

     
    _________________________
Статус темы:
Тема закрыта для ответов.