ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Проверка на уязвимости
Перезагрузить страницу Kazved.kazan.ru
   
Закрытая тема
 
Опции темы Поиск в этой теме Опции просмотра

Kazved.kazan.ru
  #1  
Старый 21.06.2007, 12:17
Аватар для DrFaust
DrFaust
Новичок
Регистрация: 20.06.2007
Сообщений: 1
Провел на форуме:
24992

Репутация: 1
Arrow Kazved.kazan.ru
http://kazved.kazan.ru/

Сайт написан на ASP.NET, база данных на SQL Server 2005, на сервере установлен фаерволл.

Ломайте, крушите, взламывайте, юзайте всякие XSS, SQL Injection, травите брутфорсами, натравливайте на сканеры безопасности ;-) Валите IIS, роняйте пул приложений ASP.NET, роняйте фаерволл, почтовый сервер, вобще, ЧТО УГОДНО.

Только не надо делать DDoS атакаи, это нечестно ;-)

Сервак скоро будем отдавать на collocation, по-этому, важно чтобы сайт!! а с ним и сервер был устойчив к хакерским атакам. За найденные критические уязвимости могу выслать вознаграждение ;-))

АДМИНАМ: на главной странице в центре находится надпись "Хотим проверку от ANTICHAT.RU" и картинка которая указана в правилах.

спасибо gold-goblin-у за то что нашел XSS.

С уважением, веб-разработчик газеты Казанские Ведомости. Аська 474730
 

  #2  
Старый 21.06.2007, 16:39
Аватар для Slon
Slon
Участник форума
Регистрация: 09.12.2005
Сообщений: 162
Провел на форуме:
701592

Репутация: 91
По умолчанию
http://kazved.kazan.ru/Thumbnail.aspx?img=./uploadimg/../uploadimg/45738_3534_PICT0001.JPG&w=298

Этот запрос коректен

http://kazved.kazan.ru/Thumbnail.aspx?img=../uploadimg/../uploadimg/45738_3534_PICT0001.JPG&w=298

Этот нет.

Делай выводы. Кривая читалка файлов. Поставль проверку по регулярке или тика того
 

  #3  
Старый 21.06.2007, 17:22
Аватар для ettee
ettee
Administrator
Регистрация: 12.10.2006
Сообщений: 466
Провел на форуме:
17234747

Репутация: 5170
По умолчанию
При отправке лс.
Адресат: оконьчание на " ' "
Тема: "'><script>alert(document.cookie)</script>"
Кому нужно крутите до актив.
Последний раз редактировалось ettee; 21.06.2007 в 17:25..
 

  #4  
Старый 22.06.2007, 10:55
Аватар для _GaLs_
_GaLs_
Постоянный
Регистрация: 21.04.2006
Сообщений: 540
Провел на форуме:
1310036

Репутация: 726


Отправить сообщение для _GaLs_ с помощью ICQ
По умолчанию
Цитата:
Сообщение от Slon  
http://kazved.kazan.ru/Thumbnail.aspx?img=./uploadimg/../uploadimg/45738_3534_PICT0001.JPG&w=298

Этот запрос коректен

http://kazved.kazan.ru/Thumbnail.aspx?img=../uploadimg/../uploadimg/45738_3534_PICT0001.JPG&w=298

Этот нет.

Делай выводы. Кривая читалка файлов. Поставль проверку по регулярке или тика того
Slon зачем так всё усложнять ))
http://kazved.kazan.ru/Thumbnail.aspx?img='

И темболие их очень много таких ошибок на сайте:
http://kazved.kazan.ru/Art.aspx?id=21&t=%22'%3E%3Cscript%3Ealert(document .cookie)%3C/script%3E%22
http://kazved.kazan.ru/CatV.aspx?show=http://kazved.kazan.ru/Art.aspx?id=21&t=%22'%3E%3Cscript%3Ealert(document .cookie)%3C/script%3E%22=16&t=c

можно продолжать)
Последний раз редактировалось _GaLs_; 22.06.2007 в 11:00..
 

  #5  
Старый 22.06.2007, 11:15
Аватар для l1ght
l1ght
Reservists Of Antichat - Level 6
Регистрация: 05.12.2006
Сообщений: 195
Провел на форуме:
14023893

Репутация: 2163
По умолчанию
Цитата:
Сообщение от _GaLs_  
Slon зачем так всё усложнять ))
http://kazved.kazan.ru/Thumbnail.aspx?img='
зачем так все усложнять!
http://kazved.kazan.ru/Thumbnail.aspx?img=
=))) кстать забыл
http://kazved.kazan.ru/forum/calendar.asp?M=6' ))
а вообще много битых ссылок на локалхост (в частности рисунки, ссылки с индекса)
 

  #6  
Старый 22.06.2007, 15:36
Аватар для Slon
Slon
Участник форума
Регистрация: 09.12.2005
Сообщений: 162
Провел на форуме:
701592

Репутация: 91
По умолчанию
Цитата:
http://kazved.kazan.ru/Thumbnail.aspx?img='
а при чем тут символ кавычки? Эт ж не скуль. А я усложднял для того, что бы доказать, что этo читалка файлов

Цитата:
http://kazved.kazan.ru/forum/calendar.asp?M=6'
Это то же не скуль. Все прекрасно отфильтровано.
То что вы видите это уведобление об ошибке, что данный параметр не int))
Последний раз редактировалось Slon; 22.06.2007 в 15:39..
 

  #7  
Старый 02.07.2007, 12:48
Аватар для Ni0x
Ni0x
Постоянный
Регистрация: 27.08.2006
Сообщений: 367
Провел на форуме:
2009677

Репутация: 472
По умолчанию
галера также кривая, не проверяется расширение файла
 

  #8  
Старый 05.07.2007, 11:01
Аватар для ice1k
ice1k
Постоянный
Регистрация: 01.01.2007
Сообщений: 551
Провел на форуме:
4908597

Репутация: 1866


Отправить сообщение для ice1k с помощью ICQ
По умолчанию
2DrFaust
Читаем правила:
http://forum.antichat.ru/thread39721.html

Цитата:
3. Для того, чтоб мы были уверены, что Вам нужна такая проверка, Вам необходимо повесить следующую ссылку на
наш форум <a href="http://forum.antichat.ru"><img src="http://forum.antichat.ru/images/test_antichat.gif" alt="Сайт проверяется античатом" border="0"></a>
etc...
 
Закрытая тема



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ