BlackBook подвержена следующим уязвимостям: 

1. XSS в большинстве передаваемых полей тела сообщения
Прим.: HTML обозначается как "off" (выкл) в sign.php 

"<SCRIPT>alert(document.domain);</SCRIPT> <SCRIPT>alert(document.cookie);</SCRIPT>"

JS код вызывается простым открытием страницы:

http://[host]/blackbook/index.php

2. По умолчанию user / password : "admin / pass" и хранится в виде обычного текста в файле "config.php"

3. Посты хранятся в базе /blackbook/data/data.dat, которая по умолчанию доступна любому пользователю.

4. phpinfo.php - без комментариев.

Оставить мнение