Протестируем САУ?

http://mysite[dot]com
Логины от 0 до 9, (0 - админ, может добавлять пользователей)
пароль везде qwe
Интересует все: попытки взлома системы, ошибки, ...

(Отредактировано автором: 18 Декабря, 2012 - 05:55:15)

Кто найдет ошибки, нотайсы, взломает что нибудь - за каждую мелочь на ваш телефон кину денежку - 100р.

(Отредактировано автором: 03 Сентября, 2012 - 09:42:04)

Ну если кто найдет ошибку - пишем сюда. Описываем ошибку. Указываем свой номер телефона, если хотите получить денежку, конечно

• Notice: Undefined index: smu in C:\server\palayner\models\tsb_model.php on line 155
  
• Fatal error: Call to a member function rowCount() on a non-object in C:\server\palayner\models\admin_model.php on line 72
  
• Notice: Undefined index: tnameShort in C:\server\palayner\models\tsb_model.php on line 119
  
• Warning: move_uploaded_file(c:/server/palayner/public/images/S-H-V/people/1.jpeg): failed to open stream: No such file or directory in C:\server\palayner\models\user_model.php on line 59 Warning: move_uploaded_file(): Unable to move 'C:\WINDOWS\Temp\phpCE.tmp' to 'c:/server/palayner/public/images/S-H-V/people/1.jpeg' in C:\server\palayner\models\user_model.php on line 59
  
• Notice: Undefined index: grad in C:\server\palayner\models\tsb_model.php on line 338

А вообще там XSS на каждом шагу..

Что такое XSS

У меня есть привычка, когда вижу не знакомое слово сразу иду с ним в гугл. Даже hotkey на это сделал. По нажатию ALT + G браузер отправляет в гугл выделенный текст.

По теме, лучше отключите внешний доступ к сайту. Пока вам диск C не отфоратировали..

Пока вам диск C не отфоратировали. Это невозможно )))

(Отредактировано автором: 26 Сентября, 2012 - 13:02:53)

каким образом?

(Отредактировано автором: 03 Сентября, 2012 - 13:33:00)

-----
Бесплатная система складского учета с открытым кодом https://zippy[dot]com[dot]ua/zstore

Непосредственно из PHP форматировать диски думаю всё таки нельзя, хотя если есть возможность загружать на сервер и запускать там любые файлы, то возможно есть такой способ. В любом случае, сервер на базе обычной виндоус (особенно с правами администратора) не следует использовать для публичного тестирования сайтов.

каким образом можно загрузить на сервер любой файл?

-----
Бесплатная система складского учета с открытым кодом https://zippy[dot]com[dot]ua/zstore

Через дырку в скрипте. Например, когда формат загружаемых файлов не проверяется должным образом.

так браузеры не дает загружать файлы яваскриптом - нужно руками выбирать

-----
Бесплатная система складского учета с открытым кодом https://zippy[dot]com[dot]ua/zstore

Продолжаем тестировать...
http://mysite[dot]com
Желающие получить 100 рублей на телефон - оставляем описание ошибок и свой номер

(Отредактировано автором: 18 Декабря, 2012 - 05:56:27)

JS и не требуется, если есть возможность загружать любые типы файлов через дырявые формы или инклудить удалённые файлы.

Продолжаем тестировать, кому не лень!
Нашедшему хоть один баг - поощрительный приз - 100 руб на телефон (по желанию)
Загрузка файлов в моем проекте есть в 5 местах:
1) логин 2/qwe (загрузка фотографий)
2) любой логин/qwe -> заходим в профиль -> аватарка
3) любой логин/qwe -> заходим в библиотеку -> фотографии ->добавляем свои
4) любой логин/qwe -> заходим в библиотеку -> конкурс на лучшего специалиста -> присылаем отсканированный ответ
5) любой логин/qwe -> заходим в библиотеку -> портал обмена -> добавляем техкарту в формате *.doc (MS Word).
Загружаем плохие файлы)))

Внедряем XSS, форматируем мой жесткий диск (если получится )
Выковыриваем мои исходные коды.
Да, кстати хоть логины(0-9) и пароли(qwe) вам известны сейчас, это не означает, что они будут известны широкому кругу лиц всегда

http://mysite[dot]com

Добро пожаловать в систему автоматизированного управления производством!

(Отредактировано автором: 18 Декабря, 2012 - 05:56:57)