Jump to content

Проблемы с безопасностью?


Recommended Posts

Добрый день, дело в том, что я замутил магазинчик, выложил его на тестовый сервер, на одном из наших форумов выложил ссылку на оценку сайта и т.д. В итоге ребята нашли и дыры в безопасности, а именно то, что
http://ххххххх.хх/simpla/
http://ххххххх.хх/js/
http://ххххххх.хх/captcha/
http://ххххххх.хх/Smarty/
http://ххххххх.хх/design/
http://ххххххх.хх/api/
http://ххххххх.хх/compiled/
http://ххххххх.хх/resize/
данные директории открыты!
и еще вот:
1. Раскрытие путей
POST http://ххххххх.хх/blog/prodaetsya-internet-magazin HTTP/1.1
Content-Length: 107
Host: ххххххх.хх
Content-Type: application/x-www-form-urlencoded

text=mycomment&name=myname&comment=%D0%9E%D1%82%D0%BF%D1%80%D0%B0%D0%B2%D0%B8%D1%82%D1%8C&captcha_code=3827

2. Notice: Undefined index: captcha_code in /view/BlogView.php on line 61

3. "Ну и поиск вы фильтруете, а вот форму забыли. XSS":
POST http://ххххххх.хх/blog/prodaetsya-internet-magazin HTTP/1.1
Content-Length: 107
Host: ххххххх.хх
Content-Type: application/x-www-form-urlencoded

text=</textarea><marquee style="font-size:50px">ALERT 1</marquee><script>alert('XSSED');</script>&name="><script>alert('XSSED');</script>&comment=%D0%9E%D1%82%D0%BF%D1%80%D0%B0%D0%B2%D0%B8%D1%82%D1%8C&captcha_code=3827

цитирую пользователя: "куча ошибок с полным раскрытием путей. еще есть sql injection..."

4. Цитата: "Закройте системные каталоги..все внутренности сайта видны,спокойно можно лазить по директориям..и даже шелл загрузить."
Warning: Query was empty [] in /data/www/ххххххх.хх/api/Database.php on line 105

Warning: Query was empty in /data/www/ххххххх.хх/api/Database.php on line 150

Warning: Invalid argument supplied for foreach() in /data/www/ххххххх.хх/view/ProductsView.php on line 93

Warning: Query was empty [] in /data/www/ххххххх.хх/api/Database.php on line 105

Warning: Query was empty [] in /data/www/ххххххх.хх/api/Database.php on line 105

Warning: Query was empty in /data/www/ххххххх.хх/api/Database.php on line 150

Warning: Invalid argument supplied for foreach() in /data/www/ххххххх.хх/view/ProductsView.php on line 139

Warning: Cannot modify header information - headers already sent by (output started at /data/www/ххххххх.хх/api/Database.php:105) in /data/www/ххххххх.хх/index.php on line 26

5. Цитата: "Множественные раскрытия путей:"
Notice: Array to string conversion in /data/www/ххххххх.хх/api/Products.php on line 172

Notice: Array to string conversion in /data/www/ххххххх.хх/api/Products.php on line 98

Warning: Cannot modify header information - headers already sent by (output started at /data/www/ххххххх.хх/api/Products.php:172) in /data/www/ххххххх.хх/index.php on line 26

6. Цитата: "Подтверждаю наличие скули и XSS,скуля даже не одна":
Код
Warning: Placeholder substitution error. Diagnostics: "SELECT count(*) as count FROM s_users WHERE email=NOT_A_SCALAR_PLACEHOLDER_0"

Кто нибудь может мне прокомментировать эти ошибки и т.д и т.п., т.к. на главной странице разработчика утверждается что имеется защита от скули и XSS
ххххххх.хх - домен сайта. не хочу пока выкладывать адрес.

Link to post
Share on other sites
Кто нибудь может мне прокомментировать эти ошибки и т.д и т.п., т.к. на главной странице разработчика утверждается что имеется защита от скули и XSS

Думаю это должен прокомментировать Денис
Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...