Suche Tester

**hand** · 05.07.2002, 16:52

http://www.scriptselling.de/demo_boa...dminUser=admin
Passwort ist in der URL sichtbar, kann bei jedem Request gesnifft oder gelöesen werden, wenn man Dir beim Posten über die Schultern schaut.

<a href="werbung/click.php"><img border=0 src="werbung/phpads.php?what=468x60&n=ban1"></a> wird nicht angezeigt

Bei Userverwaltung ist nicht ersichtlich ob einem User ein Moderatorrecht zugewiesen ist oder nicht.
Ich hätte mir erwartet, daß man Benutzerattribute wie eMail-Adresse ändern kann.

Navigation: Anstatt "Adminarea" würde ich "AdminArea" oder "Admin-Area" schreiben

Ich bin unter "admin" angemeldet und versuche dem Link "Einstellungen" zu folgen -> Fehler "Du musst dich zuerst einloggen!"

Link "FAQ" -> "Sorry... Diese Seite existiert nicht auf unserem Account! "
Nach dem ausloggen gelangt man über den BACK-Button nach wie vor in den Administrationsbereich zurück.

"Forum anlegen": Die Gifs (rechts) werden nicht angezeigt

"LogIn": Egal ob falsches PWD oder falsche UID eingegeben wird --> "Passwort war leider falsch, nochmal versuchen:"
1. besser wäre "Login inkorrekt" das genügt. Bitte keinen Hinweis ob UID oder PWD falsch ist angeben.
2. In diesem Zustand wird eine erneute Eingabe UID/PWD nicht akzeptiert.

Eingabe des Benutzernamen ist caseinsensitive: "admin" möglich, obwohl UserID korrekterweise "Admin" lautet

Ich habe versucht mich als user "hand" mit PWD "hand" zu registrieren. -> Vielen Dank für deine Registrierung!
Wenn ich mich ein weiters mal mit derselben UID registriere -> Vielen Dank für deine Registrierung!
Mittlerweile bin ich 6x als "hand" registriert:

Code:

1. h a n d; Registrierungsdatum: 05.07.2002 - 16:10; Email: n/A 
2. hand; Registrierungsdatum: 05.07.2002 - 16:16; Email: hand
3. hand; Registrierungsdatum: 05.07.2002 - 16:18; Email: hand
4. hand; Registrierungsdatum: 05.07.2002 - 16:18; Email: hand
5. hand; Registrierungsdatum: 05.07.2002 - 16:19; Email: hand
6. hand; Registrierungsdatum: 05.07.2002 - 16:24; Email: ">

oder http://www.scriptselling.de/demo_boa...te.php?userid=

Bei der Registrierung werden die Felder Website und EMail nicht auf Plausibilität geprüft.

Es ist gestattet bei den Registrierungsfeldern HTML-Code einzutragen, was Auswirkung haben kann (harmlosestes Beispiel) -> http://www.scriptselling.de/demo_boa...id=&user_id=11

Meinem Spieltrieb zufolge habe ich mich mit der Kennung "<script>alert("hand war da!");</script>" registriert. Auch das funzt perfekt und hat folgende Auswirkung:
-> Das kleinere Übel: Userid wird angezeigt als: "'+'[/b]'+'\n',0)">", aber siehe selbst was noch passiert: http://www.scriptselling.de/demo_boa...rid=&forumid=6

Man kann auf Topics zugreifen, die als solche gar nicht zur Auswahl angezeigt werden - Zur Auswahl angezeigt werden die Topics mit interner ID 3 und 4
http://www.scriptselling.de/demo_boa...rid=&forumid=6 von User "Anonymous"
http://www.scriptselling.de/demo_boa...rid=&forumid=6 von User "Admin"
Den User "Anonymous" gibt es gar nicht mehr.

Irgendwie ist es mir passiert, ohne daß es mir bewußt war, daß ich einen Account ohne Namen "" angelegt habe ??

Laß' Dich bitte nicht abschrecken, für's Erste solls genug sein.

**admin** · 05.07.2002, 16:59

wenn das mal nicht ein richtiger test war!

**CrazyAchmed** · 05.07.2002, 19:14

japp, vielen dank fuer den testbericht!

Suche Tester

Suche Tester

Kommentar

Kommentar

Kommentar

Wird geladen... Bitte warte.

Suche Tester

Suche Tester

Kommentar

Kommentar

Kommentar