Баг репорты msfirearms.com

Сайт: ссылка

---
Ошибки HTML-синтаксиса. В "шапке" страницы.
Возможны ошибки при работе поискового робота или каких-то то браузеров:
<div id="logo" title="Online Gun Auction "Ms. Firearms"">
<a href="http://msfirearms.com/">
<img src="http://msfirearms.com/themes/default/img/logo.jpg" alt="Online Gun Auction "Ms. Firearms""/></a></div>

Двойные кавычки в свойствах alt, title "Online Gun Auction "Ms. Firearms""
Выход: 'Online Gun Auction "Ms. Firearms"'
---
Вывод ошибки! Плохая обработка исключений.
Адрес: ссылка

2Zionit. что-то ты перевыпендривался по поводу ПХП ББ и постом дальше.

Цитата ("lyoxa"):

2Zionit. что-то ты перевыпендривался по поводу ПХП ББ и постом дальше.

не знаю - но с хакерской молодости помню что он самый ломаемый, лучше используйте вбуллетин (форум на том сайте 2005 года выпуска - видно по (с) в 2005 году они падали за 15 минут)

В 2.0.21 не так уж много косяков.
Особенно если он не запичкат мусорными модулями

Как минимум именно для той версии
ссылка
ссылка

Цитата ("lyoxa"):

в 2.0.21 не так уж много косяков.
Особенно если он не запичкат мусорными модулями

возможно - но их регулярно находят и используют,
+ ко всему этому это "приватные дыры", некоторые с них попадали мне в руки... (давали пару дыр в PHP BB, 1 в MSN, 1 в ICQ.com) ...

Nая. Дыра в безопасности при регистрации на сайте позволяет сделать XSS на форуме

Дефект TVV001.

1. Захожу на форму регистрации ссылка
2. Ввожу Birthdate 11/11/1899
3. Выдает ошибку "Birthdate is incorrect!"

Почему это нельзя регистрироваться старикам, которые родились до 1900 года? Дискриминация по возрастному признаку. Если какой-либо ушлый юрист в USA решит подзаработать, найдет такого старика, предложит ему зарегистрироваться на сайте, естественно не получится, и Вас тогда по судам затаскает.

Дефект TVV002.

1. Захожу на форму регистрации ссылка
2. Смотрю список стран. Он, к сожалению, не полон, ряд государств просто отсутствует.

Почему это нельзя зарегистрироваться например жителю Ватикана? Может быть запрещено? И Ватикан не единственный пример. Не хватает например нескольких островных государств, нет Абхазии, и т.д. Дискриминация по территориальному признаку. А за Ватикан еще и весь католический мир поднимется против такого сайта.

Список государств можно посмотреть например тут: ссылка

Дефект TVV003.

1. Захожу на форму регистрации ссылка
2. Поле "Your name" обязательно для заполнения, ввожу в это поле простую точку, ".", или букву "X"
3. Все нормально, проверка это не распознает, регистрация проходит
4. То же самое касается и остальных полей, например "Address", "City" и т.д., например в "ZIP/Post Code" я ввел букву "ы", и проверка это пропустила

Валидация формы должна это распознавать, например имя, город и адрес должны быть более N символов, и т.д.

Возможно выполнение атаки "SQL инъекция". "SQL инъекция" – способ нападения на базу данных в обход межсетевой защиты. В этом методе, параметры, передаваемые к базе данных через Web приложения, изменяются таким образом, чтобы изменить выполняемый SQL запрос. Например, добавляя символ (‘) к параметру, можно выполнить дополнительный запрос совместно с первым.

Нападение может использоваться для следующих целей:
1. Получить доступ к данным, которые обычно недоступны, или получить данные конфигурации системы, которые могут использоваться для дальнейших нападений. Например, измененный запрос может возвратить хешированные пароли пользователей, которые в последствии могут быть расшифрованы методом перебора.
2. Получить доступ к компьютерам организации, через компьютер, на котором находится база данных. Это можно реализовать, используя процедуры базы данных и расширения 3GL языка, которые позволяют доступ к операционной системе.

Запрос для выполнения SQL инъекции:

ссылка;

Результат работы

<...>
Length: 872
Connection: close
Content-Type: text/html;&nbsp;charset=utf-8

<br />
<b>Warning</b>: mysql_num_rows(): supplied argument is not a valid MySQL result resource in <b>/home/user2/msfirearms.com/www/d_classes/mk_img.php</b> on line <b>20</b><br />
<br />
<b>Warning</b>: Cannot modify header information - headers already sent by (output started at /home/user2/msfirearms.com/www/d_class
<...>

Решение

Возможно получение реального пути к веб-серверу с помощью запроса:
ссылка

Возможно получение реального пути к веб-серверу с помощью запроса:
ссылка

Дефект TVV04

Серьезная проблема безопасности.

1. Захожу на форму регистрации ссылка
2. Заполняю все поля, в том числе ввожу свой E-mail
3. Нажимаю Submit
4. Мне на мой ящик приходит письмо, в том числе и с текстом:

Please follow the link below to reach the confirmation page:
ссылка

5. Я обращаю внимание, что 76 это скорее всего id, порядковый номер. Пытаюсь проверить, регистрируюсь еще раз на другой свой ящик, все правильно, приходит письмо на другой ящик с текстом:

Please follow the link below to reach the confirmation page:
ссылка

6. То есть таким образом, я могу зарегистрироваться на E-mail любого другого человека.

То есть я сейчас могу зарегистрироваться, указав E-mail например человека, которому хочу навредить, и мне не нужно иметь доступ к его ящику, я просто наберу в браузере: ссылка и регистрация пройдет. И теперь я могу его подписать на рассылку (что для него будет спамом), или могу от его имени всякие гадости писать на форуме и т.д.

Лучше это исправить, и вместо реального id подставлять зашифрованный код, например ссылка.

По судам затаскают администрацию такого сайта, которая не беспокоится о безопасности других.

tvv, дефект 4 уже выявлен другим

Дефект TVV005

1. Захожу на форму регистрации ссылка
2. Например в поле "Address" ввожу нелатинский символ, например букву "ы"
3. Сохраняю
4. Логинюсь
5. Захожу на страницу "Edit your profile" ссылка
6. Вместо моей буквы "ы" стоит знак вопроса.

То есть, имеем проблему с кодировками. Это плохо, так как если зарегистрируется например какой-нибудь немец, то он не сможет ввести свой адрес или свой город на немецком языке, если там встречаются буквы которые отсутствуют в английском. Например Мюнхен пишется как "München" (это weblancer.net заменил букву "u" с двумя точками сверху на код ü, это уже дефект weblancer.net).

Дефект TVV006

1. Логинюсь
2. Захожу на страницу "Edit your profile" ссылка
3. Меняю что-либо, например город
4. Сохраняю, вижу что те новые данные что я ввел присутствуют в форме, пока что все в порядке
5. Заново захожу на страницу "Edit your profile"
6. Оказалось, что нововведенные данные не сохранились в базе данных, так как в этой форме опять старые данные

Цитата ("Zionit"):

tvv, дефект 4 уже выявлен другим

Да, прошу прощения, не заметил. Дефект TVV004 уже был описан до меня.

Дефект TVV007

1. Логинюсь
2. Захожу на страницу "Sell an item" ссылка (попал туда с ссылка)
3. Обращаю внимание что поле "Starting date" уже предзаполнено значением "2007-07-28 13:31:25", вероятно, это формат, в котором нужно вводить дату-время в этой форме?
4. Вспоминаю что на формах регистрации и "Edit your profile" другой формат даты, а именно mm/dd/yyyy

Логично полагать, чтобы формат даты был одним и тем же на всех формах. Или лучше было бы, чтобы вводить дату-время нужно было не вручную цифрами, а чтобы был календарик или набор select box-ов.

Дефект TVV008

1. Логинюсь
2. Захожу на страницу "Sell an item" ссылка (попал туда с ссылка)
3. В поле "Auction starts with" ввожу отрицательное значение, например -10.99
4. Делаю сабмит формы

Это дефект, что можно вводить отрицательные суммы.
По крайней мере появившаяся на следующей странице надпись "Auction starts with -10.99 USD" некорректна.

Mauser, простите меня конечно, но очень похоже что этот сайт делал очень-очень начинающий программист.