Показать сообщение отдельно
Старый 29.10.2011, 20:26   #3
ont
 
Аватар для ont
 
Регистрация: 16.12.2010
Сообщений: 57
Репутация: 92
По умолчанию

Цитата:
Сообщение от AKYLA Посмотреть сообщение
Никаких уязвимостей нет, кроме как...
Врете, самую веселую пропустили -- CSRF (Cross Site Request Forgery).
Когда пользователю подсунут страничку с таким тегом:
PHP код:
<img src="http://cabinet_site.com/index.php?pass1=newpassword&pass2=newpassword&updpass=yes_change_me" /> 
... у него сменится пароль.

Нужно либо старый пароль спрашивать, либо делать секретное рандомное поле.

Через CSRF там еще много чем можно управлять. Ну и XSS наблюдаются:
PHP код:
    echo "Логин: ".$login."<br>"
Нужно использовать htmlspecialchars.
ont вне форума   Ответить с цитированием