Strona 1 z 2 12 OstatniOstatni
Pokaż wyniki 1 do 10 z 16

Temat: Testy zabezpieczeń strony WWW (plagiaty.info)

  1. #1
    Zarejestrowany
    Jan 2009
    Postów
    6

    Domyślnie Testy zabezpieczeń strony WWW (plagiaty.info)

    Witam,

    Chciał bym poprosić was, drodzy koledzy o pomoc nad wyszukaniem potencjalnych luk bezpieczeństwa w serwisie http://plagiaty.info.

    Nasi programiści zakończyli wersję Alpha i dzisiaj przeszła ona w wersje Beta.

    Jak każdy wie, błędów nie popełniają tylko Ci którzy nic nie robią, a my mieliśmy dużo pracy ( pisząc wszystko od zera) więc mogliśmy (i pewnie popełniliśmy ich wiele), tak więc zwracamy się z oficjalną prośbą o pomoc w ich wyszukaniu chociaż tych podstawowych.

    Spróbowalibyście przesłać do serwera różne ciekawostki które nie wpadły do głowy naszym programistom, tak aby aplikacja się wyłożyła.


    ( mamy wykonaną pełną kopie serwisu, tak więc od teraz jest do waszej całkowitej dyspozycji)


    Niedopuszczalne są jedynie ataki na serwer ( DoS ) oraz brute force.

    Możecie próbować, SQL Injection, Remote File Inclusion, Session Fixation, XSS oraz wszystko to, co wpadnie wam do głowy.

    Czyli jesteście ograniczeni jedynie wasza wyobraźnia.


    W razie jakichkolwiek wątpliwości tutaj znajduje się oficjalna wiadomość:

    http://plagiaty.info/index.php?core=nowosci


    W razie jakichkolwiek pytań możecie zadawać tutaj odpowiedzi lub bezpośrednio na nasz adres kontaktowy : [email protected]

    Pozdrawiamy

  2. #2
    Zarejestrowany
    Jul 2008
    Skąd
    PL
    Postów
    135

    Domyślnie

    pierwszy bug już znalazłem:

    Otwarte testy będą trwały do ( czwartek) 6 stycznia 2009
    6. styczeń to WTOREK, a nie czwartek
    "...i stało się! Linie telefoniczne otworzyły mi bramę do świata
    upajającego jak heroina pulsująca w żyłach ćpuna! Elektronicznym
    sygnałem przekraczam wrota szukając ucieczki od codzienności,
    głupoty i niesprawiedliwości... i znajduję podobnych sobie."

  3. #3
    Zarejestrowany
    Jan 2009
    Postów
    6

    Domyślnie

    Cytat Napisał blooregard Zobacz post
    pierwszy bug już znalazłem:



    6. styczeń to WTOREK, a nie czwartek

    Dzięki kolego,

    Oczywiście miał byś czwartek, 8 ale jakoś Gnome mi pięknie podświetlił te datę i przepisałem...

    Jak widzicie, mi już wystarczy wrażeń na dzisiaj.

  4. #4
    Zarejestrowany
    Jan 2009
    Postów
    216

    Domyślnie

    Kod:
    Niedopuszczalne są jedynie ataki na serwer ( DoS ) oraz brute force.
    o rly^^^^
    zle napisana szukajka to nie bug?
    blind sql injection to nie bug?


    Kod:
    Warning: md5() expects parameter 1 to be string, array given in /var/www/virtual/plagiaty.info/htdocs/corefunction/login.php on line 57

    Kod:
    Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /var/www/virtual/plagiaty.info/htdocs/corefunction/szukajp.php on line 142
    
    Warning: mysql_fetch_assoc(): supplied argument is not a valid MySQL result resource in /var/www/virtual/plagiaty.info/htdocs/corefunction/szukajp.php on line 143

    zapisywanie hasel w sesji - hmm...


    Kod:
    http://plagiaty.info/index.php?core=aktywacja
    DoS

    Warning: require_once(../core/mysqlstart.php) [function.require-once]: failed to open stream: No such file or directory in /var/www/virtual/plagiaty.info/htdocs/corefunction/reg.php on line 2
    Kod:
    http://plagiaty.info/index.php?core=
    lfi

    Kod:
    Warning: imagecreatefrompng() [function.imagecreatefrompng]: '/var/www/virtual/plagiaty.info/htdocs/imgklaster1/53/avatar.png' is not a valid PNG file in /var/www/virtual/plagiaty.info/htdocs/core/thumb.php on line 8
    
    Warning: imagesx(): supplied argument is not a valid Image resource in /var/www/virtual/plagiaty.info/htdocs/core/thumb.php on line 11
    
    Warning: imagesy(): supplied argument is not a valid Image resource in /var/www/virtual/plagiaty.info/htdocs/core/thumb.php on line 12
    
    Warning: imagecopyresampled(): supplied argument is not a valid Image resource in /var/www/virtual/plagiaty.info/htdocs/core/thumb.php on line 26
    
    Warning: imagedestroy(): supplied argument is not a valid Image resource in /var/www/virtual/plagiaty.info/htdocs/core/thumb.php on line 34

    xsrf w profilu, PW


    magic quotes - kod to pewnie masakra

    PW - DoS

    PW - dostep do nie swoich wiadomosci (chyba, nie chce mi sie zakladac 2 konta)

    logout - xsrf

    komentarze - DoS. Co za problem miec 2 konta.

    raport - DoS

    forum - Dos

    glosowanie - xsrf

    http://plagiaty.info/index.php?core=../index

    ddos jak cholera


    Kod:
    Warning: mysql_query() [function.mysql-query]: Access denied for user 'vu2034'@'localhost' (using password: NO) in /var/www/virtual/plagiaty.info/htdocs/core/kasujnieaktywowane.php on line 38



    oczywiscie pominalem bledy zwiazane z ulomnascia linuxa, ale przez nie mozna tez polozyc stronke.

  5. #5
    Avatar Mandr4ke
    Mandr4ke jest offline Bez Teamowiec
    Zarejestrowany
    Oct 2008
    Skąd
    W Sieci !!!
    Postów
    282

    Domyślnie

    Ktoś znajduje błąd w serwisie internetowym, zwraca się do wydawcy serwisu z informacją o tym, że taki błąd jest oraz z propozycją, że naprawi go za wynagrodzeniem. Niby nic nadzwyczajnego, przecież w społeczeństwie informacyjnym - jak wielu podnosi - odpowiednia informacja, dostarczona w odpowiednim czasie może być przedmiotem obrotu i zyskać dużą wartość. Finałem sprawy są kajdanki i komisariat, przedstawienie zarzutów oraz propozycja dobrowolnego poddania się karze...............

    zrodlo : google...



    Plagiaty SITO !!!
    "Wszystkie komputery PC są kompatybilne, ale niektóre są kompatybilniejsze od innych... Twój jest zawsze mniej kompatybilny..."

  6. #6
    Zarejestrowany
    Jan 2009
    Postów
    216

    Domyślnie

    Ktoś znajduje błąd w serwisie internetowym, zwraca się do wydawcy serwisu z informacją o tym, że taki błąd jest oraz z propozycją, że naprawi go za wynagrodzeniem.
    wiesz, to juz moze podpasc pod szantarz.
    jesli blad jest na duzym serwisie, po co go zglaszac
    a jasli na malym podmienic index, htaccess z inherit i zapomniec...

  7. #7
    Avatar Mandr4ke
    Mandr4ke jest offline Bez Teamowiec
    Zarejestrowany
    Oct 2008
    Skąd
    W Sieci !!!
    Postów
    282

    Domyślnie

    Zgadza sie...Tak dla przykladu tylko wrzucilem.Mozna by to rozegrac inaczej np. bez pieniedzy...Ot tak by zlapac Scrippt Kinda ;p
    "Wszystkie komputery PC są kompatybilne, ale niektóre są kompatybilniejsze od innych... Twój jest zawsze mniej kompatybilny..."

  8. #8
    Zarejestrowany
    Jan 2009
    Postów
    6

    Domyślnie

    Dobrywieczór,

    Jak widzicie znowu padając z nóg odpisuję o 12 w nocy, no ale co zrobić, taka praca.




    Warning: md5() expects parameter 1 to be string, array given in /var/www/virtual/plagiaty.info/htdocs/corefunction/login.php on line 57
    -> Prawdopodobnie naprawione, prgramiści dodali funkcję sprawdającą czy wprowadzony login bądź hasło jest typu string.


    Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /var/www/virtual/plagiaty.info/htdocs/corefunction/szukajp.php on line 142

    Warning: mysql_fetch_assoc(): supplied argument is not a valid MySQL result resource in /var/www/virtual/plagiaty.info/htdocs/corefunction/szukajp.php on line 143

    -> naprawione, sprawdzamy długość wprowadzonego ciągu...


    [quote]zapisywanie hasel w sesji - hmm...

    -> usunięte przekazywanie ponownie do przeglądarki, po wgraniu danych do serwera mysql hasło z sesji jest usuwane.



    Warning: require_once(../core/mysqlstart.php) [function.require-once]: failed to open stream: No such file or directory in /var/www/virtual/plagiaty.info/htdocs/corefunction/reg.php on line 2
    -> zleciłem usunięcie pliku, ponieważ nie jest wykożystywany... pytanie brzmi jak go znalazłeś ?

    -> dodane zabezpieczenie przez lfi


    xsrf w profilu, PW
    -> dodane zabezpieczenie w profilu, pw, glosowaniu

    logout - xsrf
    -> dodane zabezpieczenie

    raport - DoS
    -> dodane zabezpieczenie

    forum - Dos
    -> dodano zabezpieczenie


    PW - dostep do nie swoich wiadomosci (chyba, nie chce mi sie zakladac 2 konta)
    -> przelecieliśmy skrypt i nie wykryliśmy błędów.

    1 konto)
    L: test
    H: test

    2 konto)
    L: test2
    H: test2



    Ktoś znajduje błąd w serwisie internetowym, zwraca się do wydawcy serwisu z informacją o tym, że taki błąd jest oraz z propozycją, że naprawi go za wynagrodzeniem. Niby nic nadzwyczajnego, przecież w społeczeństwie informacyjnym - jak wielu podnosi - odpowiednia informacja, dostarczona w odpowiednim czasie może być przedmiotem obrotu i zyskać dużą wartość. Finałem sprawy są kajdanki i komisariat, przedstawienie zarzutów oraz propozycja dobrowolnego poddania się karze...............

    zrodlo : google...



    Plagiaty SITO !!!
    Na pewno nie jesteśmy bankiem żeby płacić za wykonywanie testu. Pomyślałem że znajdą się osoby chętne by spróbować swoich sił, mając pewność że gdy zostaną wykryci to nic im nie grozi.

    A odnośnie naprawy za wynagrodzeniem -> to już ktoś tak próbował, i to z Home.pl


    Pozdrawiam i życzę dobrej nocy

  9. #9
    Zarejestrowany
    Jan 2009
    Postów
    216

    Domyślnie

    slabe to anty xsrf...
    3600 iframow i mam 1 godzine.
    choc wystarczy typko 60
    Kod:
    Godzina logowania: 23:43

    na forum dalej mozna spamowac na ile starczy bazy.

    dobra, koniec.
    ale 1 slowo komentarza - calosc tragicznie zaplanowana, wszedzie jakies 'dziury'.

  10. #10
    Avatar Mandr4ke
    Mandr4ke jest offline Bez Teamowiec
    Zarejestrowany
    Oct 2008
    Skąd
    W Sieci !!!
    Postów
    282

    Domyślnie

    "
    A odnośnie naprawy za wynagrodzeniem -> to już ktoś tak próbował, i to z Home.pl "

    Hmmm... Brzmi jak jakas aluzja...
    "Wszystkie komputery PC są kompatybilne, ale niektóre są kompatybilniejsze od innych... Twój jest zawsze mniej kompatybilny..."

Strona 1 z 2 12 OstatniOstatni

Podobne wątki

  1. [perl] www info
    By Hardiel in forum Perl/Python/TCL/Prolog
    Odpowiedzi: 0
    Autor: 09-28-2008, 18:30
  2. Porty Strony ,Błedy strony ,Fake mail !!!
    By Cyber100 in forum Newbie - dla początkujących!
    Odpowiedzi: 9
    Autor: 07-05-2008, 16:21
  3. Strony WWW to dzienniki lub czasopisma
    By MateO in forum Aktualności / Felietony / Artykuły
    Odpowiedzi: 3
    Autor: 08-30-2007, 15:46

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52