unicom Опубликовано 23 октября, 2012 Жалоба Поделиться Опубликовано 23 октября, 2012 Добрый день, дело в том, что я замутил магазинчик, выложил его на тестовый сервер, на одном из наших форумов выложил ссылку на оценку сайта и т.д. В итоге ребята нашли и дыры в безопасности, а именно то, что http://ххххххх.хх/simpla/http://ххххххх.хх/js/http://ххххххх.хх/captcha/http://ххххххх.хх/Smarty/http://ххххххх.хх/design/http://ххххххх.хх/api/http://ххххххх.хх/compiled/http://ххххххх.хх/resize/данные директории открыты!и еще вот:1. Раскрытие путейPOST http://ххххххх.хх/blog/prodaetsya-internet-magazin HTTP/1.1Content-Length: 107Host: ххххххх.ххContent-Type: application/x-www-form-urlencodedtext=mycomment&name=myname&comment=%D0%9E%D1%82%D0%BF%D1%80%D0%B0%D0%B2%D0%B8%D1%82%D1%8C&captcha_code=38272. Notice: Undefined index: captcha_code in /view/BlogView.php on line 613. "Ну и поиск вы фильтруете, а вот форму забыли. XSS":POST http://ххххххх.хх/blog/prodaetsya-internet-magazin HTTP/1.1Content-Length: 107Host: ххххххх.ххContent-Type: application/x-www-form-urlencodedtext=</textarea><marquee style="font-size:50px">ALERT 1</marquee><script>alert('XSSED');</script>&name="><script>alert('XSSED');</script>&comment=%D0%9E%D1%82%D0%BF%D1%80%D0%B0%D0%B2%D0%B8%D1%82%D1%8C&captcha_code=3827цитирую пользователя: "куча ошибок с полным раскрытием путей. еще есть sql injection..."4. Цитата: "Закройте системные каталоги..все внутренности сайта видны,спокойно можно лазить по директориям..и даже шелл загрузить."Warning: Query was empty [] in /data/www/ххххххх.хх/api/Database.php on line 105Warning: Query was empty in /data/www/ххххххх.хх/api/Database.php on line 150Warning: Invalid argument supplied for foreach() in /data/www/ххххххх.хх/view/ProductsView.php on line 93Warning: Query was empty [] in /data/www/ххххххх.хх/api/Database.php on line 105Warning: Query was empty [] in /data/www/ххххххх.хх/api/Database.php on line 105Warning: Query was empty in /data/www/ххххххх.хх/api/Database.php on line 150Warning: Invalid argument supplied for foreach() in /data/www/ххххххх.хх/view/ProductsView.php on line 139Warning: Cannot modify header information - headers already sent by (output started at /data/www/ххххххх.хх/api/Database.php:105) in /data/www/ххххххх.хх/index.php on line 265. Цитата: "Множественные раскрытия путей:"Notice: Array to string conversion in /data/www/ххххххх.хх/api/Products.php on line 172Notice: Array to string conversion in /data/www/ххххххх.хх/api/Products.php on line 98Warning: Cannot modify header information - headers already sent by (output started at /data/www/ххххххх.хх/api/Products.php:172) in /data/www/ххххххх.хх/index.php on line 266. Цитата: "Подтверждаю наличие скули и XSS,скуля даже не одна":КодWarning: Placeholder substitution error. Diagnostics: "SELECT count(*) as count FROM s_users WHERE email=NOT_A_SCALAR_PLACEHOLDER_0"Кто нибудь может мне прокомментировать эти ошибки и т.д и т.п., т.к. на главной странице разработчика утверждается что имеется защита от скули и XSS ххххххх.хх - домен сайта. не хочу пока выкладывать адрес. Цитата Ссылка на сообщение Поделиться на другие сайты
95595595 Опубликовано 23 октября, 2012 Жалоба Поделиться Опубликовано 23 октября, 2012 Кто нибудь может мне прокомментировать эти ошибки и т.д и т.п., т.к. на главной странице разработчика утверждается что имеется защита от скули и XSS Думаю это должен прокомментировать Денис Цитата Ссылка на сообщение Поделиться на другие сайты
pikusov Опубликовано 23 октября, 2012 Жалоба Поделиться Опубликовано 23 октября, 2012 Ничего из перечисленного не могу повторить у себя Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.