_kREveDKo_
28.07.2006, 17:51
Вот активненькая и к сожалению палевненькая XSS в профиле пользователя. Уязвим параметр \"realname\"
http://snt.by/2.jpg.
Загнав туда XSS-сплойт, вы ни где не сможете
увидеть результат его работы, зато Админ это увидит сразу! Дело в том, что он не пашет НА
САМОМ ВИДНОМ МЕСТЕ!
http://snt.by/1.jpg
Вот так подстава... Хотя как только Админ полезет:
изменять ваш профиль,
удалять вас,
слать вам мэйл,
менять пароль,
менять права
он попадётся на оставленную нами \"козявку\" =). Палево неимоверное, но всё-таки может кому и пригодится.
http://snt.by/2.jpg.
Загнав туда XSS-сплойт, вы ни где не сможете
увидеть результат его работы, зато Админ это увидит сразу! Дело в том, что он не пашет НА
САМОМ ВИДНОМ МЕСТЕ!
http://snt.by/1.jpg
Вот так подстава... Хотя как только Админ полезет:
изменять ваш профиль,
удалять вас,
слать вам мэйл,
менять пароль,
менять права
он попадётся на оставленную нами \"козявку\" =). Палево неимоверное, но всё-таки может кому и пригодится.