|
Аудит безопасности хомяка
Итак, хочу вынести на ваш аудит безопасности своего хомяка:
http://heel.org.ua http://heel.org.ua/admin/ - здесь админка, можно попытаться зайти http://heel.org.ua/services/ - здесь разные сервисы с полями для ввода и различными взаимодействиями с пользователями http://heel.org.ua/contacts/ - контакты, можно попробовать что-то ввести Остальные разделы маловероятно будут полезными, но попытаться можно (кнопка "Ломать можно" стоит везде ;) ) |
Пассивная xss в поле логин - http://heel.org.ua/admin
|
Перкрёстные ссылки=) http://heel.org.ua/280
added: Так просто они блокируются, но если писать цифры как %30..%39 то это проходит. |
0nep@t0p, не реально воспользоваться.
desTiny, сначала подумал, что действительно пропустил ошибку, а потом проверил все и не догнал, как она проявляется. Помоему - никак |
Цитата:
в Имя и Email если ввести неправильный код проверки. |
BlackCats, не реально воспользоваться
|
Давно я столько писем с сайта не получал, так приятно :) Жаль, что большинство из них содержит <script>, alert(), <STyLe> ;)
|
Цитата:
|
Да, проходит, не спорю. Все проходит, кроме: http://heel.org.ua/[цифры]
А зачем мне закрывать доступ к остальному? Допустим у меня будут длинные урлы на сайте, спрашивается: почему я должен запретить пользователю сделать из чего-то такого: http://heel.org.ua/some_cat/index/111/searcher/test/ такое: http://heel.org.ua/123 ??? Вся эта защита была только от банального зацикливания, а передача %00%00 вместо реальных цифр ничего не дает |
Отчаявшимся:
Открыл новый сервис: http://heel.org.ua/translit/ |
| Время: 23:17 |