Testy zabezpieczeń strony WWW (plagiaty.info)

[plagiaty]

Witam,

Chciał bym poprosić was, drodzy koledzy o pomoc nad wyszukaniem potencjalnych luk bezpieczeństwa w serwisie http://plagiaty.info.

Nasi programiści zakończyli wersję Alpha i dzisiaj przeszła ona w wersje Beta.

Jak każdy wie, błędów nie popełniają tylko Ci którzy nic nie robią, a my mieliśmy dużo pracy ( pisząc wszystko od zera) więc mogliśmy (i pewnie popełniliśmy ich wiele), tak więc zwracamy się z oficjalną prośbą o pomoc w ich wyszukaniu chociaż tych podstawowych.

Spróbowalibyście przesłać do serwera różne ciekawostki które nie wpadły do głowy naszym programistom, tak aby aplikacja się wyłożyła.


( mamy wykonaną pełną kopie serwisu, tak więc od teraz jest do waszej całkowitej dyspozycji)


Niedopuszczalne są jedynie ataki na serwer ( DoS ) oraz brute force.

Możecie próbować, SQL Injection, Remote File Inclusion, Session Fixation, XSS oraz wszystko to, co wpadnie wam do głowy.

Czyli jesteście ograniczeni jedynie wasza wyobraźnia.


W razie jakichkolwiek wątpliwości tutaj znajduje się oficjalna wiadomość:

http://plagiaty.info/index.php?core=nowosci


W razie jakichkolwiek pytań możecie zadawać tutaj odpowiedzi lub bezpośrednio na nasz adres kontaktowy : [email protected]

Pozdrawiamy

[blooregard]

pierwszy bug już znalazłem:

Otwarte testy będą trwały do ( czwartek) 6 stycznia 2009

6. styczeń to WTOREK, a nie czwartek

[plagiaty]

pierwszy bug już znalazłem:



6. styczeń to WTOREK, a nie czwartek

Dzięki kolego,

Oczywiście miał byś czwartek, 8 ale jakoś Gnome mi pięknie podświetlił te datę i przepisałem...

Jak widzicie, mi już wystarczy wrażeń na dzisiaj.

[esp666]

Kod:

Niedopuszczalne są jedynie ataki na serwer ( DoS ) oraz brute force.

o rly^^^^
zle napisana szukajka to nie bug?
blind sql injection to nie bug?

Kod:

Warning: md5() expects parameter 1 to be string, array given in /var/www/virtual/plagiaty.info/htdocs/corefunction/login.php on line 57

Kod:

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /var/www/virtual/plagiaty.info/htdocs/corefunction/szukajp.php on line 142

Warning: mysql_fetch_assoc(): supplied argument is not a valid MySQL result resource in /var/www/virtual/plagiaty.info/htdocs/corefunction/szukajp.php on line 143

zapisywanie hasel w sesji - hmm...

Kod:

http://plagiaty.info/index.php?core=aktywacja

DoS

Warning: require_once(../core/mysqlstart.php) [function.require-once]: failed to open stream: No such file or directory in /var/www/virtual/plagiaty.info/htdocs/corefunction/reg.php on line 2

Kod:

http://plagiaty.info/index.php?core=

lfi

Kod:

Warning: imagecreatefrompng() [function.imagecreatefrompng]: '/var/www/virtual/plagiaty.info/htdocs/imgklaster1/53/avatar.png' is not a valid PNG file in /var/www/virtual/plagiaty.info/htdocs/core/thumb.php on line 8

Warning: imagesx(): supplied argument is not a valid Image resource in /var/www/virtual/plagiaty.info/htdocs/core/thumb.php on line 11

Warning: imagesy(): supplied argument is not a valid Image resource in /var/www/virtual/plagiaty.info/htdocs/core/thumb.php on line 12

Warning: imagecopyresampled(): supplied argument is not a valid Image resource in /var/www/virtual/plagiaty.info/htdocs/core/thumb.php on line 26

Warning: imagedestroy(): supplied argument is not a valid Image resource in /var/www/virtual/plagiaty.info/htdocs/core/thumb.php on line 34

xsrf w profilu, PW


magic quotes - kod to pewnie masakra

PW - DoS

PW - dostep do nie swoich wiadomosci (chyba, nie chce mi sie zakladac 2 konta)

logout - xsrf

komentarze - DoS. Co za problem miec 2 konta.

raport - DoS

forum - Dos

glosowanie - xsrf

http://plagiaty.info/index.php?core=../index

ddos jak cholera

Kod:

Warning: mysql_query() [function.mysql-query]: Access denied for user 'vu2034'@'localhost' (using password: NO) in /var/www/virtual/plagiaty.info/htdocs/core/kasujnieaktywowane.php on line 38

oczywiscie pominalem bledy zwiazane z ulomnascia linuxa, ale przez nie mozna tez polozyc stronke.

[Mandr4ke]

Ktoś znajduje błąd w serwisie internetowym, zwraca się do wydawcy serwisu z informacją o tym, że taki błąd jest oraz z propozycją, że naprawi go za wynagrodzeniem. Niby nic nadzwyczajnego, przecież w społeczeństwie informacyjnym - jak wielu podnosi - odpowiednia informacja, dostarczona w odpowiednim czasie może być przedmiotem obrotu i zyskać dużą wartość. Finałem sprawy są kajdanki i komisariat, przedstawienie zarzutów oraz propozycja dobrowolnego poddania się karze...............

zrodlo : google...



Plagiaty SITO !!!

[esp666]

Ktoś znajduje błąd w serwisie internetowym, zwraca się do wydawcy serwisu z informacją o tym, że taki błąd jest oraz z propozycją, że naprawi go za wynagrodzeniem.

wiesz, to juz moze podpasc pod szantarz.
jesli blad jest na duzym serwisie, po co go zglaszac
a jasli na malym podmienic index, htaccess z inherit i zapomniec...