http://mysite[dot]com
Логины от 0 до 9, (0 - админ, может добавлять пользователей)
пароль везде qwe
Интересует все: попытки взлома системы, ошибки, ...
1. ПТО - 02 Сентября, 2012 - 12:50:22 - перейти к сообщению
2. ПТО - 03 Сентября, 2012 - 09:27:57 - перейти к сообщению
Кто найдет ошибки, нотайсы, взломает что нибудь - за каждую мелочь на ваш телефон кину денежку - 100р.
3. ПТО - 03 Сентября, 2012 - 11:52:05 - перейти к сообщению
Ну если кто найдет ошибку - пишем сюда. Описываем ошибку. Указываем свой номер телефона, если хотите получить денежку, конечно
4. Ch_chov - 03 Сентября, 2012 - 11:58:57 - перейти к сообщению
- Notice: Undefined index: smu in C:\server\palayner\models\tsb_model.php on line 155
- Fatal error: Call to a member function rowCount() on a non-object in C:\server\palayner\models\admin_model.php on line 72
- Notice: Undefined index: tnameShort in C:\server\palayner\models\tsb_model.php on line 119
- Warning: move_uploaded_file(c:/server/palayner/public/images/S-H-V/people/1.jpeg): failed to open stream: No such file or directory in C:\server\palayner\models\user_model.php on line 59 Warning: move_uploaded_file(): Unable to move 'C:\WINDOWS\Temp\phpCE.tmp' to 'c:/server/palayner/public/images/S-H-V/people/1.jpeg' in C:\server\palayner\models\user_model.php on line 59
- Notice: Undefined index: grad in C:\server\palayner\models\tsb_model.php on line 338
А вообще там XSS на каждом шагу..
5. ПТО - 03 Сентября, 2012 - 12:04:55 - перейти к сообщению
Ch_chov пишет:
Что такое XSS
А вообще там XSS на каждом шагу..
6. Ch_chov - 03 Сентября, 2012 - 12:25:50 - перейти к сообщению
ПТО пишет:
У меня есть привычка, когда вижу не знакомое слово сразу иду с ним в гугл. Даже hotkey на это сделал. По нажатию ALT + G браузер отправляет в гугл выделенный текст.Что такое XSS
По теме, лучше отключите внешний доступ к сайту. Пока вам диск C не отфоратировали..
7. ПТО - 03 Сентября, 2012 - 12:27:40 - перейти к сообщению
Пока вам диск C не отфоратировали. Это невозможно )))
8. caballero - 03 Сентября, 2012 - 13:32:40 - перейти к сообщению
Цитата:
По теме, лучше отключите внешний доступ к сайту. Пока вам диск C не отфоратировали..
каким образом?
9. Ch_chov - 03 Сентября, 2012 - 14:10:19 - перейти к сообщению
Непосредственно из PHP форматировать диски думаю всё таки нельзя, хотя если есть возможность загружать на сервер и запускать там любые файлы, то возможно есть такой способ. В любом случае, сервер на базе обычной виндоус (особенно с правами администратора) не следует использовать для публичного тестирования сайтов.
10. caballero - 03 Сентября, 2012 - 14:14:10 - перейти к сообщению
Цитата:
хотя если есть возможность загружать на сервер и запускать там любые файлы,
каким образом можно загрузить на сервер любой файл?
11. Ch_chov - 03 Сентября, 2012 - 14:18:08 - перейти к сообщению
caballero пишет:
Через дырку в скрипте. Например, когда формат загружаемых файлов не проверяется должным образом.
каким образом можно загрузить на сервер любой файл?
12. caballero - 03 Сентября, 2012 - 14:47:14 - перейти к сообщению
Цитата:
Например, когда формат загружаемых файлов не проверяется должным образом.
так браузеры не дает загружать файлы яваскриптом - нужно руками выбирать
13. ПТО - 03 Сентября, 2012 - 15:07:27 - перейти к сообщению
Продолжаем тестировать...
http://mysite[dot]com
Желающие получить 100 рублей на телефон - оставляем описание ошибок и свой номер
http://mysite[dot]com
Желающие получить 100 рублей на телефон - оставляем описание ошибок и свой номер
14. Ch_chov - 03 Сентября, 2012 - 17:01:53 - перейти к сообщению
JS и не требуется, если есть возможность загружать любые типы файлов через дырявые формы или инклудить удалённые файлы.
15. ПТО - 05 Сентября, 2012 - 17:48:08 - перейти к сообщению
Продолжаем тестировать, кому не лень!
Нашедшему хоть один баг - поощрительный приз - 100 руб на телефон (по желанию)
Загрузка файлов в моем проекте есть в 5 местах:
1) логин 2/qwe (загрузка фотографий)
2) любой логин/qwe -> заходим в профиль -> аватарка
3) любой логин/qwe -> заходим в библиотеку -> фотографии ->добавляем свои
4) любой логин/qwe -> заходим в библиотеку -> конкурс на лучшего специалиста -> присылаем отсканированный ответ
5) любой логин/qwe -> заходим в библиотеку -> портал обмена -> добавляем техкарту в формате *.doc (MS Word).
Загружаем плохие файлы)))
Внедряем XSS, форматируем мой жесткий диск (если получится
)
Выковыриваем мои исходные коды.
Да, кстати хоть логины(0-9) и пароли(qwe) вам известны сейчас, это не означает, что они будут известны широкому кругу лиц всегда
http://mysite[dot]com
Добро пожаловать в систему автоматизированного управления производством!
Нашедшему хоть один баг - поощрительный приз - 100 руб на телефон (по желанию)
Загрузка файлов в моем проекте есть в 5 местах:
1) логин 2/qwe (загрузка фотографий)
2) любой логин/qwe -> заходим в профиль -> аватарка
3) любой логин/qwe -> заходим в библиотеку -> фотографии ->добавляем свои
4) любой логин/qwe -> заходим в библиотеку -> конкурс на лучшего специалиста -> присылаем отсканированный ответ
5) любой логин/qwe -> заходим в библиотеку -> портал обмена -> добавляем техкарту в формате *.doc (MS Word).
Загружаем плохие файлы)))
Внедряем XSS, форматируем мой жесткий диск (если получится
)Выковыриваем мои исходные коды.
Да, кстати хоть логины(0-9) и пароли(qwe) вам известны сейчас, это не означает, что они будут известны широкому кругу лиц всегда
http://mysite[dot]com
Добро пожаловать в систему автоматизированного управления производством!