Jest to zbiór uwag bezpieczeństwa serwisu go-skins.net , od razu mówię w dalszym opisie nie znajdują się wskazówki jak włamać się do wyżej wymienionego serwisu.

Niektóre błędy zostały już naprawione po kontakcie z właścicielem serwisu.

Szybki skan plików serwera
[pawn]
/pages/
/templates/default/
/phpmyadmin/
/templates/
/templates/default/js/
/include/
/templates/
/icons/
/phpmyadmin/themes/
/phpmyadmin/themes/pmahomme/
/phpmyadmin/themes/pmahomme/img/
/phpmyadmin/js/
/phpmyadmin/js/jquery/
/server-status/
/include/language/
/include/smarty/
/phpmyadmin/themes/original/
/phpmyadmin/setup/
/index.php
/templates/default/js/jquery-1.11.3.min.js
/templates/default/js/bootstrap.min.js
/templates/default/js/script.js
/templates/default/js/socketData.js
/templates/default/js/socket.io-1.3.5.js
/phpmyadmin/url.php
/phpmyadmin/Documentation.html
/phpmyadmin/index.php
/phpmyadmin/js/cross_framing_protection.js
/phpmyadmin/js/update-location.js
/phpmyadmin/js/jquery/jquery-1.4.4.js
/phpmyadmin/js/functions.js
/phpmyadmin/js/jquery/jquery.qtip-1.0.0.min.js
/phpmyadmin/js/messages.php
/phpmyadmin/changelog.php
/phpmyadmin/license.php
/index.php
/config.php
/pages/index.php
/pages/about.php
/pages/login.php
/pages/history.php
/pages/settings.php
/pages/winners.php[/pawn]

Linki warte odwiedzenia

• http://go-skins.net/phpmyadmin/
• https://pimp517.pl:10000/

Sama strona zawiera ciekawy sposób wybrania podstrony wszystko odbywa się parametrem page skryptu index.php

np.
[pawn]index.php?page=history[/pawn]
[pawn]index.php?page=about[/pawn]

Jednak skrypt pozwala nam includować tak naprawdę dowolny plik php na serwerze który jest dostępny.
np.
[pawn]index.php?page=../config[/pawn]

Includowanie url’a niestety nie działa.