Страница 1 из 711237071»
Архив - только для чтения
Сообщество uCoz » Архивариус » Архив » Архив темы Если вы заметили баг (2012-2016гг.)
Архив темы Если вы заметили баг
-O-J-A-
Сообщений: 13
Репутация: 0

Сообщение # 1 | 19:34:38
Обнаружил баг, который позволяет узнать e-mail, на который прикреплена админ-панель ЛЮБОГО сайта в системе uCoz.
Если Вас интересуют подробности, пишите личное сообщение. Также есть данные о других багах.

Сюда не пишу подробности, так как их можно использовать в плохих целях. smile
-O-J-A-
Сообщений: 13
Репутация: 0

Сообщение # 2 | 16:17:55
Нашел большое количество CSRF уязвимостей (~20)(!) как в панели управления, так и в клиентской части.
Примеры самых опасных уязвимостей:

Удаление глобального блока
Замена шаблона
Настройки статистики сайта
Порядок разделов форума
Создание бэкапа шаблона

Предлагаю связаться по лс, e-mail или другим удобным Вам способом.
Сообщение отредактировал -O-J-A- - Среда, 04 Янв 2012, 16:20:00
Dmitry
Сообщений: 2155
Репутация: 1053

Сообщение # 3 | 16:20:49
-O-J-A-, снова Личное сообщение.
-O-J-A-
Сообщений: 13
Репутация: 0

Сообщение # 4 | 02:38:43
Scorpik427, еще нашел 12 уязвимостей, отправил на почту.

Добавлено (06-Янв-2012, 02:38:43)
---------------------------------------------
Scorpik427, выслал информацию еще о 17.

UPD: Отправил еще 10.
Надеюсь исправите.

UPD: Всего: 52 "дырки" (49 CSRF, 1 XSS, 2 - персональные данные).
Сообщение отредактировал -O-J-A- - Суббота, 07 Янв 2012, 18:36:51
Ledywine65
Сообщений: 23
Репутация: 5

Сообщение # 5 | 20:37:17
В этом году в феврале месяце 29(!) дней. В календаре эта дата ОТСУТСТВУЕТ (?). В рубрику нужно добавить заметку, отображающуюся в календаре именно 29-ым февраля.

Проверьте пожалуйста этот маленький недочёт в работе календаря?
Заранее СПАСИБО.

$Vladimir$
$SUPPORT$
Сообщений: 5889
Репутация: 955

Сообщение # 6 | 21:20:34
Ledywine65, а можно увидеть скриншот календаря или адрес сайта.

-O-J-A-
Сообщений: 13
Репутация: 0

Сообщение # 7 | 17:15:58
Также, кроме остальных дыр обнаружил пассивную XSS в BB кодах.
Сообщение отредактировал -O-J-A- - Воскресенье, 08 Янв 2012, 00:06:19
Owyn
Сообщений: 7
Репутация: 3

Сообщение # 8 | 22:22:55
1. unet.com
2. сервер unet
3. неисправность проявляется в том, что в ВебТопе тыкаю "безопасный вход" ввожу forum.ucoz.ru или любой другой сайт юкоза, тыкаю "войти на сайт" и сайт мне пишет "Неправильный логин или пароль". Свой пароль менял только сегодня, перед сменой пароля использовать "безопасный вход" не пробовал.
4. модуль unet
Сообщение отредактировал Owyn - Суббота, 07 Янв 2012, 22:23:28
webanet
Личный менеджер
Сообщений: 22857
Репутация: 4857

Сообщение # 9 | 00:02:13
Owyn, попробуйте следующее колдунство. воспользуйтесь функцией восстановления пароля вот тут http://www.uid.me/remind/ как только перейдете по ссылке напоминающей пароли можете повторить попытку безопасно зайти на любой сайт из вебтопа.
и так каждый раз, если не срабатывает

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
$Vladimir$
$SUPPORT$
Сообщений: 5889
Репутация: 955

Сообщение # 10 | 00:11:44
Quote (Owyn)
Свой пароль менял только сегодня, перед сменой пароля использовать "безопасный вход" не пробовал.

Теперь используйте тулбар или кнопку uID авторизации.

Owyn
Сообщений: 7
Репутация: 3

Сообщение # 11 | 00:22:17
Quote ($Vladimir$)
мальварбар

нененене, спасибо, еще яндекс.бар старый не доиспользовал biggrin

Quote ($Vladimir$)
или кнопку uID авторизации.

Это какую? Просто форму имени и пароля с синим значком на самом сайте куда хочешь зайти?

Quote ($Vladimir$)
P.S. "безопасный вход" работает только до смены пароля.

Юкоз прекратил поддержку его работоспособности? Когда планируется тогда убрать значок безопасного входа из веб-топа? Сам веб-топ то хоть еще поддерживается?...

Quote (webanet)
Owyn, попробуйте следующее колдунство. воспользуйтесь функцией восстановления пароля вот тут http://www.uid.me/remind/ как только перейдете по ссылке напоминающей пароли можете повторить попытку безопасно зайти на любой сайт из вебтопа.
и так каждый раз, если не срабатывает

Сработало... один раз, следующая попытка опять выдала "Неверный пароль", а попытка восстановить пароль сказала "Не чаще чем 1 раз в 3 часа".
Юкозу совсем стал безразличен unet с его безопасным входом или что это значит?
Сообщение отредактировал Owyn - Воскресенье, 08 Янв 2012, 00:23:54
$Vladimir$
$SUPPORT$
Сообщений: 5889
Репутация: 955

Сообщение # 12 | 00:25:54
Quote (Owyn)
Юкозу совсем стал безразличен unet с его безопасным входом или что это значит?

http://utoolbar.ucoz.net/ перейдите по ссылке

webanet
Личный менеджер
Сообщений: 22857
Репутация: 4857

Сообщение # 13 | 00:30:37
Owyn, будет срабатывать каждый раз, но только после процедуры восстановления. то есть раз в три часа. это такой маленький плавающий баг, который проявляется не на всех вебтопах. и от смены пароля это не зависит никак.

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
Ledywine65
Сообщений: 23
Репутация: 5

Сообщение # 14 | 00:55:44
$Vladimir$, ответ к сообщению # 349

Сылка на сайт размещена в подписи.

Вот прямая ссылка (для Юнет-пользоваетелей) на материал 29 февраля, вернее, всё ещё 28 февраля..

Я думаю, что эту функцию нужно проверить не на моём сайте, а в самой системе юкозовского шаблона

Сообщение отредактировал Ledywine65 - Воскресенье, 08 Янв 2012, 01:13:43
chetboy
Репутация: 0

Сообщение # 15 | 00:14:22
ЛЮДИИИИ!!! Пожалуйста, помогите мне решить проблему! У меня есть сайт, которому больше года и вот буквально 3 дня назад перестало заходиться на сайт! пишет Сервер не найден. Я не знаю что с этим делать, не на сайт не а ПУ зайти не могу... что такое?

Добавлено (11-Янв-2012, 00:14:22)
---------------------------------------------
Вот, кстати, мой сайт Skuterz.ru
skutera.my1.ru
Сообщество uCoz » Архивариус » Архив » Архив темы Если вы заметили баг (2012-2016гг.)
Страница 1 из 711237071»
Поиск: