 |
|
05.10.2006, 19:58
|
|
Green member - Level 3
Регистрация: 02.11.2004
Сообщений: 1,337
С нами:
11325926
Репутация:
648
|
|
http://ccsis.com/index.php?action=160&search_id="><script>alert('te st')</script>
Вот кто и воткнул =)
__________________
+ (это не крестик, это плюсик!)
__________________
•
•
•
|
|
|
05.10.2006, 20:03
|
|
Guest
Сообщений: n/a
С нами:
Репутация:
|
|
censored!, читаем условия оплаты, выполняем...
Окончательное решение принимается после устранения уязвимости (когда будет понятно, что причина уязвимости не была оплачена ранее). На первый взгляд, оплачивается.
|
|
|
|
05.10.2006, 20:09
|
|
Guest
Сообщений: n/a
С нами:
Репутация:
|
|
Сообщение от censored!
Случайно заметил орф. ошибку:
1 Ошибка: Введённый вами адрс эектронной почты имеет неверный формат.
2. http://ccsis.com/index.php?action=user_mail&uid=ONK
Всего лишь подозрение (не проверял)
Собрать с форума имена пользователей не проблема.
А потом уже можно скриптом заспамить ящики пользователей или таким образом делать спам-рассылку.
3. Вообщем - пересматривайте расценки =)
4. Дальше смотреть и копать смысла нету. Там все сырое.
1. Забавный набор ошибок, в принципе, похоже на меня -) откуда это?, не могу найти у себя такой фразы.
2. Там есть защита одноразовым ключом формы с ограниченным сроком действия и привязкой к сессии + возможность защиты картинкой.
3. Пока не вижу причин для паники -).
4. Вам виднее...
|
|
|
|
05.10.2006, 20:19
|
|
Green member - Level 3
Регистрация: 02.11.2004
Сообщений: 1,337
С нами:
11325926
Репутация:
648
|
|
1. Забавный набор ошибок, в принципе, похоже на меня -) откуда это?, не могу найти у себя такой фразы.
http://82.146.43.254/index.php?action=207
Вводим кривой мыл.
Судя по нереальным ценам за найденую уязвимость (50 уе за XSS (пассивную) - это очень много). Не получиться ли так - что будет сообщено что такая уязвимость была оплачена ранее?
Окончательное решение принимается после устранения уязвимости (когда будет понятно, что причина уязвимости не была оплачена ранее).
Ну, если, оплата после устранения уязвимости, и уязвимость была найдена - то выходит что она не была устранена и, соответствено, не была найдена ранее и оплачена?
И как узнать - будет оплачена или нет? И как сообщить куда переводить?
Так что вопросов очень много. Или это так - типа кидок такой?
Тогда зря. Можно было:
(а) - попросить все сделать бесплатно.
(б) (если не кидалово) - заказать проверку сайта оффициально Античату (связь через Algola, Егорыча, ЧеГевару).
3. Пока не вижу причин для паники -).
Если не копалось глубоко и сходу находятся XSS - в большинстве случаев - сырец и всплывет еще что-нить серъезное.
__________________
+ (это не крестик, это плюсик!)
__________________
•
•
•
Последний раз редактировалось censored!; 05.10.2006 в 20:21..
|
|
|
|
05.10.2006, 20:25
|
|
Постоянный
Регистрация: 05.07.2006
Сообщений: 458
С нами:
10447337
Репутация:
807
|
|
в одном ряду с ващими моя конечно не стоит, но всеже
кнопка перехода на английский язык, написано "EП"
когда хочешь заригестрироваться и вводишь неправельные данные, он показывает что ты неправельно сделал и секунд через 5 делает редирект на стартовую, надо это врему увеличить.
пусть и критика, но я не претендую на деньги.
Последний раз редактировалось freddi; 05.10.2006 в 20:28..
|
|
|
|
05.10.2006, 20:26
|
|
Участник форума
Регистрация: 05.09.2006
Сообщений: 187
С нами:
10358246
Репутация:
378
|
|
Это уже не уязвимости а критика, он же сказал что движок еше бета...
|
|
|
|
05.10.2006, 20:30
|
|
Members of Antichat - Level 5
Регистрация: 27.01.2006
Сообщений: 258
С нами:
10676486
Репутация:
774
|
|
http://ccsis.com/index.php?action=user_info&uid="><script>alert(/xss/)</script>
__________________
Завтра будет.Лучше.
|
|
|
|
05.10.2006, 20:31
|
|
Green member - Level 3
Регистрация: 02.11.2004
Сообщений: 1,337
С нами:
11325926
Репутация:
648
|
|
Тогда тоже по сайту:
"Не активизировать режим автоматической авторизации []"
По юзабилити не надо ничего придумывать нового если это уже есть и давно обкатано.
Надо делать так - к чему пользователь уже привык.
Лучше эту фразу (которую я понял с третьего раза) заменить на:
"Запомнить меня на этом компьютере" и саму ее подправить:
если галка не стоит - то не запоминать, если ставят - то запомнить. Вообщем сделать так - как на Форумах и к чему посетители уже привыкли. А то навигация по сайту будет ой как затруднительна.
__________________
+ (это не крестик, это плюсик!)
__________________
•
•
•
|
|
|
|
05.10.2006, 21:02
|
|
Постоянный
Регистрация: 17.07.2005
Сообщений: 475
С нами:
10955906
Репутация:
488
|
|
http://ccsis.com/index.php?action=user_info&uid=ONK<script>alert()</script>
|
|
|
|
06.10.2006, 00:18
|
|
Участник форума
Регистрация: 16.07.2004
Сообщений: 196
С нами:
11482946
Репутация:
211
|
|
Onk - написал в личку.
|
|
|
|
|
|
|
Похожие темы
|
| Тема |
Автор |
Раздел |
Ответов |
Последнее сообщение |
|
поиск музыки
|
SHiTS |
Болталка |
36 |
05.08.2005 20:19 |
|
Поиск
|
SHiTS |
Болталка |
26 |
13.03.2005 06:28 |
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
