Тема: 2zproject
Показать сообщение отдельно
Старый 29.08.2012, 14:51   #5
mr.The
 
Аватар для mr.The
 
Регистрация: 05.07.2010
Сообщений: 73
Репутация: 16
По умолчанию

Цитата:
Сообщение от M@ZAX@KEP Посмотреть сообщение
Забавно, но так можно сразу писать, что XSS есть на всех сайтах Ucoz и форумах Vbulletin, например. Там тоже html в сообщениях отключен по дефолту, но админ может дать право использовать его некоторым группам пользователей.
Нет же. В булке и прочих стоит парсер, который обрезает левые теги и всякий мусор. Есть куча багов основанных на том, что парсер - лох. И этот - в их числе. Баг же не в том, что можно просто вставить "<SCRIPT>alert("XSS")</SCRIPT>", а в том, что вставлять его надо в картинку. Это простейший вариант, вот тут, например, чуть сложнее. Ну или вспомни xss в твитере: https://rdot.org/forum/showthread.php?t=728
__________________
Бложек mr.The. :rolleyes:
mr.The вне форума   Ответить с цитированием