требуется проверить сервис чатов
 

Здравствуйте,
протестируйте на уязвимости этот сайт http://chatz.net.ru .
Месяц назад в каталоге htdocs оказался подозрительный файл "system_frame.php" как-то так...с нулевыми правами(т.е его не просмотреть не удалить). через фтп выставил права на чтение зашел из браузера а там шелл remview...меня интересует как он туда попал? есть подозрения что через загрузку аватаров или фото в чатах... :confused: помогите чем сможете)) ссылка на форум присутствует на главной :)

Логин и пасс?
P.S. Ну елси токо через FTP и получилось права сменить то тебе FTP и сломали или хостинг :)
===========
ПРи реге в чате можно использовать одну и туже каптчу бесконечно :rolleyes:
===========
Никакой защиты от флуда, одно и тоже сообщение хоть 500 раз в секунду (если комп потянет :) )
===========
ПРи отправики месаги не проверяет IP и можно использвоать GET метод, например
_http://chatz.net.ru/send.php?tip=all&outxx=&komuonly=&out=Hello&uid=58 6020777e3281bf23d49cb03499&room=main
так в комнату main отправится месага Hello (вот кайф! Купить iframe трафик под 30к за час и на эту ссыль! Ах, какой флуд мощный будет :D )

Здравствуйте, опять я!
Нужно проверить сервис чатов http://moichat.ru/ .
За 2месяца работы косяков вроде замечено не было. Но все-таки нужно чтобы подтвердили профи в этом деле ;) движок уже далеко не тот, что был тогда :)
нужно проверить админку. загрузку картинок. редактор html.
опыты будем проводить тут :) :
чат: http://moichat.ru/chat.php?room=antibagg

данные для входа в управление чатом:
login/pass: antibagg

также под этим ником и паролем заходим в чат как суперадмин.

Ссылку на форум поставил.

ps. есть у кого прога, которая бы сканировала пхп скрипт на наличие скрытых инклудов, системных комманд, и т.п ?

А сделай, чтобы работал...

В админке:
Добавь текущий пароль, если не будет, юзер, стырив куки админа может сменить пасс не зная его.

http://moichat.ru/chat.php?room=antibagg&f[]=chat - раскрытие путей...
chats/antibagg/Array.htm как я понял должно было быть chats/antibagg/chat.htm

mailbrush, ну про опера и файрфокс это нереально, т.к чат писался именно для IE. там чат наполовину работает на javascript и включить поддержку этих браузеров - писать скрипт с нуля.
а вот по-поводу паролей грамотно сказал. поправил.

[NiGHT]DarkAngel, ладно пускай будет раскрытие путей, хоть и не полное. вобщето сообщение об ошибке выводится скриптовое а не серверное warning() . Поправлю на редирект если файл не найден.

Спасибо за помощь! Надо ещо логи глянуть мож кто чо нашел да молчит :)

изза этого ты потеряеш большую чать своих возможных посетителей,т.к. ие никто почти непользуется

так что думай, быть без юзеров и этим чатом,или переписать,но чтоб смогли заходить все

http://moichat.ru/report/31-01-2009.htm
Я что-то не видел в чатах твоих 2000 сообщений...

а не видел, потому что о сайте мало еще кто знает...

он удаляет чаты, которые за неделю не набрали 500мессаг.
Чатам, которым меньше недели и независимо сколько там сообщений он автоматом присваивает 500 чтобы пройти проверку, т.к обновляется раз в день.

только через семь дней после реги чата укажется реальное кол-во сообщений и результат прошел / не прошел.

мда. не мастер я красиво говорить.
половины сам не понял :)

редирект спец для особо любопытных был подефолту ;)
он почти во всех сис.директориях присутствует чтоб затруднить раскопки :) почему на яндекс? хз. больше ничего в голову не лезло

ладно, раз никто уже не пишет, можно сворачиваться