Проект TBDev - Сайт

Статус
В этой теме нельзя размещать новые ответы.
StirolXXX написал(а):
А как его делать? В аську стукнуть можешь? 7282521
Нажмите для раскрытия...
Сайтец неплохой, но на мой взгляд слишком много усилий прикладываете к переводу... Движок лучшеб модифицировали и правили.
 
DeamoniC написал(а):
Сайтец неплохой, но на мой взгляд слишком много усилий прикладываете к переводу... Движок лучшеб модифицировали и правили.
Нажмите для раскрытия...

Ну я ведь один... Движок я уже правлю но еще не выложил новый билд!
 
Multiple XSS Vulnerabilities in TBDev Yuna Scatari Edition 2.0 LATEST (27.10.06 and 09.11.06) and ALL previous versions!

File listing of vulnerable files:

offers.php (new and edit routine)
requests.php (new and edit routine)
adduser.php (not itself but can cause XSS if created username is something like <script>alert("123");</script>)
viewoffers.php (if fixed offers.php this will not be vulnerable)
viewrequests.php (if fixed requests.php this will not be vulnerable)
bans.php (ban comment field)
details.php (this and index will be fixed when takeupload.php will be fixed, also in details.php is the one unneded htmlspecialchars() - when description is twice de-htmled...)
index.php (fix takeupload.php, offers.php and this will gone)
editforums.php (new and edit forums routine)
forums.php (fix editforums.php and this will gone)
category.php (name not touched)
log.php (fix takeupload.php, adduser.php and some others and this will gone)
messages.php (fix reply message XSS)
bookmark.php (fix takeupload.php and this will gone or make here htmlspacialchars() to make no torrent name appearing untouched. I recomend first...)
news.php (new and edit routine)
makepoll.php (new and edit routine)
mysimpaty.php (description of simpaty)
usersearch.php (all fields. not usual <script>alert("123");</script> but requires some others skils as well with html...)
stats.php (fix takeupload.php and this will gone)
userhistory.php (all fiels are almost unchecked!)
userdetails.php (contact fields, website)
staff.php (firstline support field)

If possible - disable your tracker and fix the vulnerabilities.
I personaly suggest you to check other files receiving data from user as well as moderators...

Хто там обещался пройтись по коду, а? ;) :) Прошу просмотреть на SQL-Injection. На их поиск я слаб...
 
StirolXXX написал(а):
А как его делать? В аську стукнуть можешь? 7282521
Нажмите для раскрытия...

Вот, посмотрите.

Кеширование:
Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.


Прошу просмотреть на SQL-Injection. На их поиск я слаб...
Нажмите для раскрытия...

А поповоду "дыр", читайте это, и ищите в своих разработках уязвимый код:

SQL injection:
Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.


XSS:
Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.


Удачи! ;)
 
Эти доки мне не помогут - я знаю эти атаки, я не могу просто физически ща по всему коду пробежатся...
 
У проекта очень большая нехватка кодеров! Прошу кто чем может - помогать проекту и поставьте ссылку у себя на сайтах если вам это не сложно!

<a href="http://bit-torrent.kiev.ua" target="_blank">Проект TBDev</a> - разработка движка Торрент-Трекера.
 
Работы над БЕТА 5 наполовину завершены...
 
Да вот идут полным ходом... Только одному ху... херово все делать... :bc:
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху