Цитата:
Сообщение от M@ZAX@KEP
Забавно, но так можно сразу писать, что XSS есть на всех сайтах Ucoz и форумах Vbulletin, например. Там тоже html в сообщениях отключен по дефолту, но админ может дать право использовать его некоторым группам пользователей.
|
Нет же. В булке и прочих стоит парсер, который обрезает левые теги и всякий мусор. Есть куча багов основанных на том, что парсер - лох. И этот - в их числе. Баг же не в том, что можно просто вставить "<SCRIPT>alert("XSS")</SCRIPT>", а в том, что вставлять его надо в картинку. Это простейший вариант, вот
тут, например, чуть сложнее. Ну или вспомни xss в твитере:
https://rdot.org/forum/showthread.php?t=728