Я, может быть, проглядел это в статье, но с какой версией PHP проводилось сравнение в тестах?
Производительность PHP как бы несколько отличается от версии к версии )
Хозяйке на заметку: mailinator.com/ здесь рандомные одноразовые email'ы.
Легально можно активировать 3 кода, после чего пишут о том что в этом месяце вы исчерпали лимит использования ваучеров.
Подождем до следующего месяца…
Так с какой целью написан этот пост?
Получить обратную связь. Критику, идеи по улучшению
Беглым осмотром выявлено несколько проблемных моментов:
Так можно брутфорсить пароль к пользователю admin: http://useq.org.ru/cgi-bin/forum/entry.cgi?username=admin&passwrd=bruteforce_goes_here&enter=%C2%F5%EE%E4
Так можно зарегистрировать пользователя с любым именем (в нашем случае имя «0») http://useq.org.ru/cgi-bin/forum/_YaBB.cgi?board=&action=register2&username=0&email=myemail@email.com
Пароль вам вышлют, правда потом залогиниться по нему с таким логином будет нельзя.
Кстати, email=1 тоже сработает без валидации.
Тут ломается страница (недостаточная обработка параметров): http://useq.org.ru/cgi-bin/forum/_YaBB.cgi?action=viewprofile;username=%3Cscript%3Efoobar
Not implemented при попытке удалить сообщение с форума: http://useq.org.ru/cgi-bin/forum/YaBB.cgi?board=gest_flood;action=modify2;thread=1331215265;id=2;d=1
Производительность PHP как бы несколько отличается от версии к версии )
А то, что там в имени пользователя активный XSS — это мелочи. Да и что вообще кто ожидал от подобных «качественных» ресурсов.
Легально можно активировать 3 кода, после чего пишут о том что в этом месяце вы исчерпали лимит использования ваучеров.
Подождем до следующего месяца…
Например, вот
(скриншот)
Это же ведь будет считаться оскорблением чувств верующих, да?
Нотариально заверенный скриншот
Беглым осмотром выявлено несколько проблемных моментов:
http://useq.org.ru/cgi-bin/forum/entry.cgi?username=admin&passwrd=bruteforce_goes_here&enter=%C2%F5%EE%E4
http://useq.org.ru/cgi-bin/forum/_YaBB.cgi?board=&action=register2&username=0&email=myemail@email.com
Пароль вам вышлют, правда потом залогиниться по нему с таким логином будет нельзя.
Кстати, email=1 тоже сработает без валидации.
http://useq.org.ru/cgi-bin/forum/_YaBB.cgi?action=viewprofile;username=%3Cscript%3Efoobar
http://useq.org.ru/cgi-bin/forum/YaBB.cgi?board=gest_flood;action=modify2;thread=1331215265;id=2;d=1
Ну и на момент написания комментария ресурс упал…
(картинка на случай смерти ссылки)