Открыта папка http://www.megahyiptracer.com/hybann/
Там лежит красивый файл mybesthell.php, к которому наверняка подходят дефолтные данные...
Шелл от пхп.су

Так вроде нашел что-то типа xss....
Yj выковрять сложно т.. striptags =\
http://www.megahyiptracer.com/hybann/h/
В своем профиле при изменении имени

ссылка античата слева в партнерке
шелл мой - тестировал недавно

тип xss....
не интересует
1 - там и так идет сбор кук всех мимоходящих - так программеры развлекались - сам нашел недавно
поменял адрес на свой сниф и усе.
2 - там хеш такой что не открыть просто так
и в кукак он каждый раз разный
сам скрипт сдесь
http://www.megahyiptracer.com/hybann/h/hyip_script.zip
кстати в нем много чего интересного для каждого
админа - я лично забрал оттуда
1 -подсчет онлайн визиторов,
2 - спам по датабазе мыл (пишеш - нажимаеш и привет)
3 - зашита админки - проверка по айпи
при каждом заходе - мыло - ктото зашел в админку
листинг директорий по умолчанию всегда открыт
http://www.megahyiptracer.com/hybann/h/inc/admin
http://www.megahyiptracer.com/hybann/h/inc/libs
http://www.megahyiptracer.com/hybann/h/inc/libs/core
http://www.megahyiptracer.com/hybann/h/inc/libs/plugins/
mysql не видно случайно ?

[blink]Sql Injection[/blink]

В поле Search Programs

запрос вида 123' выдает

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '') and (hl_listings.expiration = 0 || date_a' at line 13

Налицо SQL - дальше копать не стал, а надо?

Неужели еще кто-то ведется на hyip сайты-однодневки? А сайты с "мониторингом" ничто иное как обман ибо пишут мол надежный hyip платит стабильно, существует давно, хотя на самом деле...

А насчет script kiddies (подстановка опасных запросов) - просто используй htaccess вида:

RewriteRule ^xz/([0-9]{3})-([0-9]{6}).html$ xz/xz/index.php?id=$1&id_2=$2

и проблем никогда не будет

Листинг директорий тоже с помощью htaccess закрой