Скрипт сервиса обмена сообщениями

Тс объясните, что это за хрень такая и что она делает, желательно со скриншотами.

я даже скачал вашу проу, но не входа нечего в ней нету...

Яж кинул скрины. Эта хрень дырявит Ваш сервер. Не более того 😂

UPD: сегодня уже второй такой. После скринов с дырками сначала отмалчивается, а потом говорит "мне пофиг на покупателя" =))))

так если дырявит докажите это

Если совсем достать продавца, скажет: "Да, лень матушка! Смотри-верти, включай, отстань тока" :)

XSS-уязвимости на скриншоте Вам недостаточно? :D

нет не достаточно, на эти понты и ребёнок способен, докажите чем то серьёзнее ... чтобы потенциальный покупатель точно понял, что данный скрипт брать не нужно

XSS и неучет 404 в системе - это один из признаков говнокода. А там и до SQL-инъекции недалеко, в случае с СУБД. Остальное потрудитесь потестировать сами. Или закажите аудит :)

PS: на посмеяться. Названия полей из системы:

- into - послать пользователю. Пример "into:maxim". "Послать в Максима"

- messege - сообщение. Пример "messege: O_o"

Я фигею. Хоть словарем пользуйтесь чтоли... Хех =)

Валерий, вообще то покупатель должен понять что скрипт НУЖно брать.. а отнюдь не наоборот.. если бы все было по вашему - реклама вообще не нужна была бы.. свалил в кучу всякой всячины и греби лопатой бабки..

Ппц. Быдлопонтеры активизировались.

ТС: вы некомпетентный специалист по аудиту скриптов, и к томуже видно по вашей подписи требующий дорого за свои услуги

И не ясно по каким причинам делающий выводы о говнокоде из своих говнотрюков доступных обычному обывателю и не требующий мысленых просчётов, произнеся умное слово XSS, интересно знаете ли вы что на самом деле CSS, но XSS называть начали так как CSS уже зарезервирован под каскадную таблицу стилей и дабы не путать написали X - то есть крест ... отсутпил .. в общем это тольк ослово и скриншот на несуществующуюю страницу . где кроме 404 ошибки ничего нет, которую возвращает сервер и это предусмотрено умышлено, но для Вас это очень сложно понять, так как профи не будет спешить делать выводы. которые не сможет в дальнейшем доказать ... связи между XSS и SQL инъекцией нету, это разные вещи следовательно +1 дохлый понт в вашу копилку И Вы предлагаете заказать аудит? Смешно !

valera2509 добавил 13.04.2009 в 22:56

for asserte

2ТС: Охеренный вы специалист, уважаемый. Связь между XSS и SQL-инъекцией очень даже прямая.

Сами догадаетесь или подсказать?

Первая буква - ф

Вторая буква - и

Третья буква - л

Четвертая - мягкий знак

Пятая буква - т

Шестаяя буква - р

...

Все словосочетание звучит как "фильтрация ввода". Отдаю дохлый понт обратно.

И еще, если уж вы так усердно прочитали вику - почему бы не прочесть ее вдумчиво? Например, следующий абзац:

Это можно пропустить, и почитать примеры использования XSS-уязвимостей на той же вике. Удачи, старпёр =)