Предлагаю выкладывать сюда битые ссылки, баги и прочие милые сердцу тестировщика радости найденные на сайте
Вот и первый: перейдя по ссылке http://automated-testing.info/authors (с банера "Портал ищет авторов") я не увидел никакой информации про условия, на которых можно стать автором портала. Browser: Mozilla Firefox.
Спасибо, да, линка была битой. Сейчас страница находиться по адресу http://automated-testing.info/content/stat-avtorom
Кто-то криво правил футер в генерации страниц:
Все замечания и пожелания присылайте на webmaster@automated-testing.info<a href="http://automated-testing.info/sitemap.html">.</a><br>
Точка осталась ссылкой. Не думаю, что это так задумано. Мелочь, но я троль =)
спасибо за замечание, сейчас поправим
Внизу страницы отображается ошибка Missing Key: topic.read_more_MF
Заодно хочу проверить и возможность инклузивной ошибки 
К этому посту приаттачен файл картинка, который собственно после картинки содержит скрипт alert(getScriptPath());. Если найдется любая XSS уязвимость, то подобным образом можно будет запустить скрипт любой сложности как на сервере так и на стороне клиента. Просто нужно будет начать читать файл с нужного места. Более того, возможно наверное даже создать сам JPEG файл содержащий только javascript. Эта идея интересная, но над практической реализацией я пока не думал ))
Картинка здесь
automated-testing.info/uploads/default/451/648ea23561b9fd5e.jpg
Возможное решение - обрабатывать загружаемые картинки переконвертируя их.
Второе поведение - это то что к картинке даже перед тем как сообщение отправлено уже указывается путь, тоесть, можно залить файл не оставляя сообщение. Потенциально такая комбинация чревата DOS атакой, когда я буду отправлять JPEG картинки на 2 гигабайта до тех пор, пока не забью всё место на сайте и на форуме никто этого не заметит, сообщений не будет видно. И это не займет много времени, часа 2 максимум при моей ширине канала. Если же проводится проверка на размер картинки (не проверял, это уже не столь важно), то тоже не проблема, просто сделать робот который будет засылать мелкие картинки. По времени будет процентов на 20-30 дольше.
TRACE запросы запрещены на портале - что правильно, но сервер возвращает свою версию, которая мягко говоря - довольно устарела и с 2012 года уже содержит пару эксплойтов в базе данных
testomat.io управление авто тестамиarturko@ARTURKO-NOTE /cygdrive/e/work/tools
$ curl -X TRACE automated-testing.info
<html>
<head><title>405 Not Allowed</title></head>
<body bgcolor="white">
<center><h1>405 Not Allowed</h1></center>
<hr><center>nginx/1.1.19</center>
</body>
</html>
Возможные уязвимости этой версии здесь:
Не, это не баг automated-testing.info. Это баг nginx сервера. Минорный. По ходу в версиях после 1.1.19 перестали апдейтить строку респонса на трейс запрос. Уязвимостей описаных выше нету, разве что какие-то неизвестные мне 0day.
принято
Ачивку
http://automated-testing.info/badges/43/first-reply-by-email
Невозможно получить - кнопка не существует
столько лайков еще никто не получал 
сообщество не любит лайкать [quote=“xotabu4, post:11, topic:1505, full:true”]
http://automated-testing.info/badges/43/first-reply-by-email
Невозможно получить - кнопка не существует
[/quote]
а вот это не реализовано, а нужно кому-то отвечать по емейлу напрямую в тему? всегда думал что удобнее на сайте отвечать
Да я просто хотел все ачивки собрать )
ну я не знал, что ты там хотел сделать 
Ну как бы общепринято для форумов отображать, чей был последний пост в топике и когда.
а кроме того что это “общепринято”, есть еще какие-то аргументы? потому что с моей точки зрения это не несет никакой полезной функциональности, а я больше смотрю в сторону упрощения интерфейса, а не усложнения
UX - лично у меня четкое чувство, что не хватает информации на главной странице, причем на mobile его нет - там вы не “выпилили” иконки.
Usability тоже от этого не “прокачалось”: например просмотр профиля ТС. В текущем варианте мне надо зайти в топик (+1 action). Наскролить на первый пост (+1 action). Кликнуть на иконку ТС (+1 action). Три экшена против одного. И т.д.
