Архив темы Если вы заметили баг

Сообщений: 13

Репутация: 0

Сообщение # 1 | 19:34:38 03 Янв 2012

Обнаружил баг, который позволяет узнать e-mail, на который прикреплена админ-панель ЛЮБОГО сайта в системе uCoz.
Если Вас интересуют подробности, пишите личное сообщение. Также есть данные о других багах.

Сюда не пишу подробности, так как их можно использовать в плохих целях. smile

-O-J-A-

Сообщений: 13

Репутация: 0

Сообщение # 2 | 16:17:55 04 Янв 2012

Нашел большое количество CSRF уязвимостей (~20)(!) как в панели управления, так и в клиентской части.
Примеры самых опасных уязвимостей:

Удаление глобального блока
Замена шаблона
Настройки статистики сайта
Порядок разделов форума
Создание бэкапа шаблона

Предлагаю связаться по лс, e-mail или другим удобным Вам способом.

Сообщение отредактировал -O-J-A- - Среда, 04 Янв 2012, 16:20:00

Dmitry

Сообщений: 2154

Репутация: 1057

Сообщение # 3 | 16:20:49 04 Янв 2012

-O-J-A-, снова Личное сообщение.

-O-J-A-

Сообщений: 13

Репутация: 0

Сообщение # 4 | 02:38:43 06 Янв 2012

Scorpik427, еще нашел 12 уязвимостей, отправил на почту.

Добавлено (06-Янв-2012, 02:38:43)
---------------------------------------------
Scorpik427, выслал информацию еще о 17.

UPD: Отправил еще 10.
Надеюсь исправите.

UPD: Всего: 52 "дырки" (49 CSRF, 1 XSS, 2 - персональные данные).

Сообщение отредактировал -O-J-A- - Суббота, 07 Янв 2012, 18:36:51

Ledywine65

Сообщений: 23

Репутация: 5

Сообщение # 5 | 20:37:17 06 Янв 2012

В этом году в феврале месяце 29(!) дней. В календаре эта дата ОТСУТСТВУЕТ (?). В рубрику нужно добавить заметку, отображающуюся в календаре именно 29-ым февраля.

Проверьте пожалуйста этот маленький недочёт в работе календаря?
Заранее СПАСИБО.

Художник по образованию, по профессии, и по состоянию души

$Vladimir$

Сообщений: 7465

Репутация: 1053

Сообщение # 6 | 21:20:34 06 Янв 2012

Ledywine65, а можно увидеть скриншот календаря или адрес сайта.

-O-J-A-

Сообщений: 13

Репутация: 0

Сообщение # 7 | 17:15:58 07 Янв 2012

Также, кроме остальных дыр обнаружил пассивную XSS в BB кодах.

Сообщение отредактировал -O-J-A- - Воскресенье, 08 Янв 2012, 00:06:19

Owyn

Сообщений: 7

Репутация: 3

Сообщение # 8 | 22:22:55 07 Янв 2012

1. unet.com
2. сервер unet
3. неисправность проявляется в том, что в ВебТопе тыкаю "безопасный вход" ввожу forum.ucoz.ru или любой другой сайт юкоза, тыкаю "войти на сайт" и сайт мне пишет "Неправильный логин или пароль". Свой пароль менял только сегодня, перед сменой пароля использовать "безопасный вход" не пробовал.
4. модуль unet

Сообщение отредактировал Owyn - Суббота, 07 Янв 2012, 22:23:28

webanet

Сообщений: 24067

Репутация: 4985

Сообщение # 9 | 00:02:13 08 Янв 2012

Owyn, попробуйте следующее колдунство. воспользуйтесь функцией восстановления пароля вот тут http://www.uid.me/remind/ как только перейдете по ссылке напоминающей пароли можете повторить попытку безопасно зайти на любой сайт из вебтопа.
и так каждый раз, если не срабатывает

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/

$Vladimir$

Сообщений: 7465

Репутация: 1053

Сообщение # 10 | 00:11:44 08 Янв 2012

Quote (Owyn)

Свой пароль менял только сегодня, перед сменой пароля использовать "безопасный вход" не пробовал.

Теперь используйте тулбар или кнопку uID авторизации.

Owyn

Сообщений: 7

Репутация: 3

Сообщение # 11 | 00:22:17 08 Янв 2012

Quote ($Vladimir$)

мальварбар

нененене, спасибо, еще яндекс.бар старый не доиспользовал biggrin

Quote ($Vladimir$)

или кнопку uID авторизации.

Это какую? Просто форму имени и пароля с синим значком на самом сайте куда хочешь зайти?

Quote ($Vladimir$)

P.S. "безопасный вход" работает только до смены пароля.

Юкоз прекратил поддержку его работоспособности? Когда планируется тогда убрать значок безопасного входа из веб-топа? Сам веб-топ то хоть еще поддерживается?...

Quote (webanet)

Owyn, попробуйте следующее колдунство. воспользуйтесь функцией восстановления пароля вот тут http://www.uid.me/remind/ как только перейдете по ссылке напоминающей пароли можете повторить попытку безопасно зайти на любой сайт из вебтопа.
и так каждый раз, если не срабатывает

Сработало... один раз, следующая попытка опять выдала "Неверный пароль", а попытка восстановить пароль сказала "Не чаще чем 1 раз в 3 часа".
Юкозу совсем стал безразличен unet с его безопасным входом или что это значит?

Сообщение отредактировал Owyn - Воскресенье, 08 Янв 2012, 00:23:54

$Vladimir$

Сообщений: 7465

Репутация: 1053

Сообщение # 12 | 00:25:54 08 Янв 2012

Quote (Owyn)

Юкозу совсем стал безразличен unet с его безопасным входом или что это значит?

http://utoolbar.ucoz.net/ перейдите по ссылке

webanet

Сообщений: 24067

Репутация: 4985

Сообщение # 13 | 00:30:37 08 Янв 2012

Owyn, будет срабатывать каждый раз, но только после процедуры восстановления. то есть раз в три часа. это такой маленький плавающий баг, который проявляется не на всех вебтопах. и от смены пароля это не зависит никак.

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/

Ledywine65

Сообщений: 23

Репутация: 5

Сообщение # 14 | 00:55:44 08 Янв 2012

$Vladimir$, ответ к сообщению # 349

Сылка на сайт размещена в подписи.

Вот прямая ссылка (для Юнет-пользоваетелей) на материал 29 февраля, вернее, всё ещё 28 февраля..

Я думаю, что эту функцию нужно проверить не на моём сайте, а в самой системе юкозовского шаблона

Художник по образованию, по профессии, и по состоянию души

Сообщение отредактировал Ledywine65 - Воскресенье, 08 Янв 2012, 01:13:43

chetboy

Репутация: 0

Сообщение # 15 | 00:14:22 11 Янв 2012

ЛЮДИИИИ!!! Пожалуйста, помогите мне решить проблему! У меня есть сайт, которому больше года и вот буквально 3 дня назад перестало заходиться на сайт! пишет Сервер не найден. Я не знаю что с этим делать, не на сайт не а ПУ зайти не могу... что такое?

Добавлено (11-Янв-2012, 00:14:22)
---------------------------------------------
Вот, кстати, мой сайт Skuterz.ru
skutera.my1.ru