УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

		Форум АНТИЧАТ > БЕЗОПАСНОСТЬ_OLD > Проверка на уязвимости
Проверьте плз аналог shorturl

Опции темы

Поиск в этой теме

Опции просмотра

Проверьте плз аналог shorturl

05.06.2010, 11:09

fbidesign

Новичок

Регистрация: 13.07.2008

Сообщений: 25

Провел на форуме:
19234

Репутация: 0

Проверьте плз аналог shorturl

Добрый день.

Прошу проверить на уязвимости очередной аналог shorturl

http://fbi.pp.ua

Все самописное, скрипт небольшой.
Если у кого будут проблемы с регистрацией - тоже просьба отписать.
(предположительно есть глюк, который у меня не воспроизводится).
по default украинский язык, для выбора другого языка нажмите на флаг.

Заранее спасибо.

07.06.2010, 15:56

mr.The

Познавший АНТИЧАТ

Регистрация: 30.04.2007

Сообщений: 1,206

Провел на форуме:
4778940

Репутация: 1257

Отправить сообщение для mr.The с помощью ICQ

Ну во первых, он не сокращает рускоязычные домены.
А потом - домен слишком длинный для shorturl. Имхо.
_ttp://fbi.pp.ua/?do=setlang&lang=ua123
некорректый язык не обрабатывается. чувствую, там error_reporting(0);..

c логином "testtest<b>123</b>" можно зарегистрироваться, но нельзя войти.

07.06.2010, 17:50

eLWAux

Members of Antichat - Level 5

Регистрация: 15.06.2008

Сообщений: 941

Провел на форуме:
5111568

Репутация: 2399

Отправить сообщение для eLWAux с помощью ICQ

генерируем капчу на любой странице,
ответ на вашу капчу хранится в файле:
http://fbi.pp.ua/captcha/cap111.222.333.444.tmp - где 111.222.333.444 - ваш IP
--
автор, ты про сессии в пехопе слышал?
--
зарегатся так и не смог, капчу не принимает

Последний раз редактировалось eLWAux; 07.06.2010 в 17:54..

07.06.2010, 19:04

BlackFan

Новичок

Регистрация: 03.01.2009

Сообщений: 27

Провел на форуме:
367442

Репутация: 41

Пассивная xss при отображении созданной ссылки
Активная xss в My URLs
Уязвимый параметр "Короткая ссылка"

Пассивная xss при регистрации с ошибкой (Например, если неправильно ввести каптчу)
Уязвимые параметры "E-mail", "Имя"

Раскрытие содержимого каталога
http://fbi.pp.ua/images/
http://fbi.pp.ua/captcha/

Можно сделать ссылку, которая редиректит сама на себя.
Можно сделать ссылку со своим коротким именем без регистрации.

И капча какая-то неадекватная)
Например картинка

А ответ к ней был AEHNQ

Последний раз редактировалось BlackFan; 07.06.2010 в 21:55..

11.06.2010, 01:33

fbidesign

Новичок

Регистрация: 13.07.2008

Сообщений: 25

Провел на форуме:
19234

Репутация: 0

спасибо за обнаруженные глюки.

Цитата:

Сообщение от mr.The

он не сокращает рускоязычные домены.

было связано с проверкой корректности url. исправил. теперь туплю какого черта в базу пишутся вопросительные знаки когда я черным по белому везде колировку cp1251 прописал, что в поле таблицы, что в таблице. что в базе. что collation_connection ... раньше такой фокус работал...

Цитата:

Сообщение от mr.The

А потом - домен слишком длинный для shorturl. Имхо.

ну в этой зоне минимум 3 символа - ограничение администратора домена. а вообще какая разница, лишь бы правильно раскрутить.

Цитата:

Сообщение от mr.The

_ttp://fbi.pp.ua/?do=setlang&lang=ua123
некорректый язык не обрабатывается. чувствую, там error_reporting(0);..

за проверку спс но там если язык не соответствует одному из существующих lang файлов то берется default без вывода сообщений об ошибке.

Цитата:

Сообщение от mr.The

c логином "testtest<b>123</b>" можно зарегистрироваться, но нельзя войти.

fixed. нельзя зарегистрироваться =)

Цитата:

Сообщение от BlackFan

Пассивная xss при отображении созданной ссылки
Активная xss в My URLs
Уязвимый параметр "Короткая ссылка"

Как следствие возможности сохранить html в базе. прикрыл.

Цитата:

Сообщение от BlackFan

Пассивная xss при регистрации с ошибкой (Например, если неправильно ввести каптчу)

есть

Цитата:

Сообщение от BlackFan

Раскрытие содержимого каталога
http://fbi.pp.ua/images/
http://fbi.pp.ua/captcha/

тестил на локалхосте, забыл что серв выдает листинг...

Цитата:

Сообщение от BlackFan

Можно сделать ссылку, которая редиректит сама на себя.

идея хорошая, не предусмотрел...

Цитата:

Сообщение от BlackFan

Можно сделать ссылку со своим коротким именем без регистрации.

спс, исправил

Цитата:

Сообщение от BlackFan

И капча какая-то неадекватная)

На капче ясно написано расставить символы в определенном пордке. Это чтобы антикапча не была перегружена

Цитата:

Сообщение от eLWAux

автор, ты про сессии в пехопе слышал?

слышал, но так интереснее

Цитата:

Сообщение от eLWAux

зарегатся так и не смог, капчу не принимает

Символы расставлены в нужном порядке?
вот это по ходу тот самый глюк который у меня ни разу не проявлялся... надо както его выловить
после открытия страницы регистрации в другом окне браузера не открывали другую страницу регистрации или abuse report?

« Предыдущая тема | Следующая тема »

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход