Проверьте плз аналог shorturl

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ

Скрыть

		ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Этичный хакинг или пентестинг > Проверка на уязвимости
Проверьте плз аналог shorturl

Опции темы

Поиск в этой теме

Опции просмотра

Проверьте плз аналог shorturl

05.06.2010, 11:09

fbidesign

Новичок

Регистрация: 13.07.2008

Сообщений: 25

С нами: 9383404

Репутация: 0

Проверьте плз аналог shorturl

Добрый день.

Прошу проверить на уязвимости очередной аналог shorturl

http://fbi.pp.ua

Все самописное, скрипт небольшой.
Если у кого будут проблемы с регистрацией - тоже просьба отписать.
(предположительно есть глюк, который у меня не воспроизводится).
по default украинский язык, для выбора другого языка нажмите на флаг.

Заранее спасибо.

𝕏 Twitter Reddit Telegram Копировать ссылку

07.06.2010, 15:56

mr.The

Познавший АНТИЧАТ

Регистрация: 30.04.2007

Сообщений: 1,205

С нами: 10016425

Репутация: 1257

Ну во первых, он не сокращает рускоязычные домены.
А потом - домен слишком длинный для shorturl. Имхо.
_ttp://fbi.pp.ua/?do=setlang&lang=ua123
некорректый язык не обрабатывается. чувствую, там error_reporting(0);..

c логином "testtest<b>123</b>" можно зарегистрироваться, но нельзя войти.

07.06.2010, 17:50

eLWAux

Постоянный

Регистрация: 15.06.2008

Сообщений: 941

С нами: 9423746

Репутация: 2399

генерируем капчу на любой странице,
ответ на вашу капчу хранится в файле:
http://fbi.pp.ua/captcha/cap111.222.333.444.tmp - где 111.222.333.444 - ваш IP
--
автор, ты про сессии в пехопе слышал?
--
зарегатся так и не смог, капчу не принимает

Последний раз редактировалось eLWAux; 07.06.2010 в 17:54..

07.06.2010, 19:04

BlackFan

Новичок

Регистрация: 03.01.2009

Сообщений: 27

С нами: 9132514

Репутация: 41

Пассивная xss при отображении созданной ссылки
Активная xss в My URLs
Уязвимый параметр "Короткая ссылка"

Пассивная xss при регистрации с ошибкой (Например, если неправильно ввести каптчу)
Уязвимые параметры "E-mail", "Имя"

Раскрытие содержимого каталога
http://fbi.pp.ua/images/
http://fbi.pp.ua/captcha/

Можно сделать ссылку, которая редиректит сама на себя.
Можно сделать ссылку со своим коротким именем без регистрации.

И капча какая-то неадекватная)
Например картинка

А ответ к ней был AEHNQ

Последний раз редактировалось BlackFan; 07.06.2010 в 21:55..

11.06.2010, 01:33

fbidesign

Новичок

Регистрация: 13.07.2008

Сообщений: 25

С нами: 9383404

Репутация: 0

спасибо за обнаруженные глюки.

Цитата:

Сообщение от mr.The

он не сокращает рускоязычные домены.

было связано с проверкой корректности url. исправил. теперь туплю какого черта в базу пишутся вопросительные знаки когда я черным по белому везде колировку cp1251 прописал, что в поле таблицы, что в таблице. что в базе. что collation_connection ... раньше такой фокус работал...

Цитата:

Сообщение от mr.The

А потом - домен слишком длинный для shorturl. Имхо.

ну в этой зоне минимум 3 символа - ограничение администратора домена. а вообще какая разница, лишь бы правильно раскрутить.

Цитата:

Сообщение от mr.The

_ttp://fbi.pp.ua/?do=setlang&lang=ua123
некорректый язык не обрабатывается. чувствую, там error_reporting(0);..

за проверку спс но там если язык не соответствует одному из существующих lang файлов то берется default без вывода сообщений об ошибке.

Цитата:

Сообщение от mr.The

c логином "testtest<b>123</b>" можно зарегистрироваться, но нельзя войти.

fixed. нельзя зарегистрироваться =)

Цитата:

Сообщение от BlackFan

Пассивная xss при отображении созданной ссылки
Активная xss в My URLs
Уязвимый параметр "Короткая ссылка"

Как следствие возможности сохранить html в базе. прикрыл.

Цитата:

Сообщение от BlackFan

Пассивная xss при регистрации с ошибкой (Например, если неправильно ввести каптчу)

есть

Цитата:

Сообщение от BlackFan

Раскрытие содержимого каталога
http://fbi.pp.ua/images/
http://fbi.pp.ua/captcha/

тестил на локалхосте, забыл что серв выдает листинг...

Цитата:

Сообщение от BlackFan

Можно сделать ссылку, которая редиректит сама на себя.

идея хорошая, не предусмотрел...

Цитата:

Сообщение от BlackFan

Можно сделать ссылку со своим коротким именем без регистрации.

спс, исправил

Цитата:

Сообщение от BlackFan

И капча какая-то неадекватная)

На капче ясно написано расставить символы в определенном пордке. Это чтобы антикапча не была перегружена

Цитата:

Сообщение от eLWAux

автор, ты про сессии в пехопе слышал?

слышал, но так интереснее

Цитата:

Сообщение от eLWAux

зарегатся так и не смог, капчу не принимает

Символы расставлены в нужном порядке?
вот это по ходу тот самый глюк который у меня ни разу не проявлялся... надо както его выловить
после открытия страницы регистрации в другом окне браузера не открывали другую страницу регистрации или abuse report?

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
otdel.ca - Проверьте плз	ReduKToR	Проверка на уязвимости	7	18.04.2010 12:25
Звуковые и диагностические сообщения BIOS и элементарные способы их устранения.	rid3r~man	"Железо"	10	01.03.2010 21:21
Проверьте besticq плз	Ridikh	Проверка на уязвимости	17	09.02.2008 00:05

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход