BlackCats
26.09.2007, 04:03
незнаю для чего.. собственно не уязвимость, но всё же баг.
запостил не дабы показать какой я ппц секурный, а просто чтобы показать что такая тема есть, мб кто придумает как заюзать..
итак:
http://z.z[/IMG*]
убираем звёздочки.. изображения не существует => оно не отображается..
согласен можно было бы просто написать пустое сообщение, но везде стоят ограничения.. от 2-х до 30 символов(возм и более)
в сорсе будущего сообщения мы увидим:
<!-- message -->
<div><img src="http://z.z" alt="" border="0"></div>
<!-- / message -->
а это значит можно скрыто размещать там текст... незнаю, для себя, или ещё для когото.. :)
просьба не бить.. я лиш поделился тем что обнаружил нечаянно... не более того.
пример пустого сообщения вы можете наблюдать в следающем посте.
===============================
потестил на IPB
аналогично, только приходится указывать расшишение изображения:
[img*]http://z.z.gif[/img*]
сорс выглядит вот так:
<img src="http://z.z.gif" class="linked-image" border="0">
===============================
а вот в phpBB наоборот не прокатило :)
при тексте сообщения:
[IMG*]http://z.z[/IMG*]
сообщение так и выглядело.
сорс:
<td colspan="2"><span class="postbody">[IMG]http://z.z</span><span class="gensmall"></span></td>
а при:
[img*]http://z.z.gif[/img*]
сообщение выглядело как картинка с битой ссылкой.(в IE крестик)
сорс:
<td colspan="2"><span class="postbody"><img src="http://z.z.gif" border="0"></span><span class="gensmall"></span></td>
=========================================
в SMF:
также работает
сообщение:
[IMG*]http://z.z[/IMG*]
сорс:
<div class="post" id="msg_391"><img src="http://z.z" alt="" border="0"></div>
запостил не дабы показать какой я ппц секурный, а просто чтобы показать что такая тема есть, мб кто придумает как заюзать..
итак:
http://z.z[/IMG*]
убираем звёздочки.. изображения не существует => оно не отображается..
согласен можно было бы просто написать пустое сообщение, но везде стоят ограничения.. от 2-х до 30 символов(возм и более)
в сорсе будущего сообщения мы увидим:
<!-- message -->
<div><img src="http://z.z" alt="" border="0"></div>
<!-- / message -->
а это значит можно скрыто размещать там текст... незнаю, для себя, или ещё для когото.. :)
просьба не бить.. я лиш поделился тем что обнаружил нечаянно... не более того.
пример пустого сообщения вы можете наблюдать в следающем посте.
===============================
потестил на IPB
аналогично, только приходится указывать расшишение изображения:
[img*]http://z.z.gif[/img*]
сорс выглядит вот так:
<img src="http://z.z.gif" class="linked-image" border="0">
===============================
а вот в phpBB наоборот не прокатило :)
при тексте сообщения:
[IMG*]http://z.z[/IMG*]
сообщение так и выглядело.
сорс:
<td colspan="2"><span class="postbody">[IMG]http://z.z</span><span class="gensmall"></span></td>
а при:
[img*]http://z.z.gif[/img*]
сообщение выглядело как картинка с битой ссылкой.(в IE крестик)
сорс:
<td colspan="2"><span class="postbody"><img src="http://z.z.gif" border="0"></span><span class="gensmall"></span></td>
=========================================
в SMF:
также работает
сообщение:
[IMG*]http://z.z[/IMG*]
сорс:
<div class="post" id="msg_391"><img src="http://z.z" alt="" border="0"></div>