Новая бяка ....

[mnemonic]

Цитата:

Сообщение от sca

еще раз спасибо, теперь понятно с какого боку подходить хоть )

Скачайте XSpider 7.5 и натравите на хост вашего сайта, на порт номер 80. Через двое суток получите подробный отчет с урлами, где какая уязвимость (XSS, SQL Injection, Code Injection). Но будьте осторожны, двое суток будет очень высокая нагрузка на сайт (предупредите хостера).

Знаю, что на мастерхосте можно бесплатно запустить сканирование сайта через XSpider. Сам не пробовал, но читал в факе, что можно. Это если вы на мастерхосте.

[sca]

"Люся, ты не по-ве-ришь!!!" (с)
до пяти утра искали причину... украсть куки через xss теперь раз плюнуть... движок обновили, наступили на все грабли какие только могли..но выжили;

а все оказалось суровее ) хотя и не сталкивалась с таки до этого;
один из редакторов, добавил новостей с кривыми ссылками, то есть внешняя ссылка была прописана как внутренняя, а мамба не выдает ошибку, она просто форвардит на главную, при этом урд видоизменяется изменяется
нажал на сылку ааа
перешел на www.домен.ру/ааа/index.php
ну и таким образом яндекс намотал несколько кругов....

все спасибо за понимание и советы, отделалась малой кровью )

[товарисч]

оффтоп
я вот у себя в коде неделю уже ловлю такую же багу - /0/ на конце вылез - где-то сдуру лишний параметр из _GET заюзал...