Поковыряйте сайтец www.mdk.su
 

WWW.MDK.SU

Вот реабилитировал свой старенький сайт в новое качество... Двиг open slaed, моей сборки, модуль каталога сайтов тоже соответственно мой!

Пользовательская часть чуть-чуть не закончена, осталось только страницу для выбора реферальных кнопок сделать )

http://mdk.su/modules/ директории index.html не катит=)

http://mdk.su/ajax/ так и надо?

XSS (POST запрос)
http://mdk.su/index.php?user_name=&user_email=asdasd%40asdasd.ru %27%3E%22%3E%3Cscript%3Ealert%28%29%3C%2Fscript%3E &user_password=&user_password2=&check=&op=finnewus er
-------------
XSS (POST запрос)
http://mdk.su/index.php?name=sites&op=add
Уязвимо поле Ссылка. В своем профиле (Мои сайты) - активная (подозреваю, что и на апруве тоже)
* '>"><img src=. onerror=evil_script>
--------------
XSS (POST запрос)
http://mdk.su/modules/dumper/index.php?login='>"><script>alert()</script>&pass=asd

http://mdk.su/uploads/files/public/ - тоже что и до этого писали про http://mdk.su/modules/
+
несмотря на что http://mdk.su/index.php?name=dumper закрыт к http://mdk.su/modules/dumper/ доступ есть

http://mdk.su/mdk.su.php тоже наверно было бы не плохо переиминовать

вроде все пофиксил, проверяйте поновой
это ща хостеру буду стучать... раньше все как надо было
с этим позже разберусь... xss прикрыл
эээ... как ты узнал имя этого файла? :D

Оч. частый случай когда так делают, не реже чем admin.php и т.п.

http://mdk.su/ajax.php?go=1&op=rating&mod=files&id=1&rating=1000
можно увеличить рейтинг до произвольной цифры
http://mdk.su/index.php?name=files

хм... вроде пофиксил

функционал каталога готов на 99%, осталось навести кое какой тюнинг и отловить баги! :)