Ребята, нашел баг выполнения ЯС на крупном портале, в поле логин если вставить скриптег:

"><script language=javascript>alert('a');</script></script>

, то детка пашет. пробовал вставить вместо ЯСа ифрейм, работает...

Данные отправляются ПОСТом (name=xx&password=yy); я скопировал формочку и попытался отправлять данные через мой скрипт, даже сработал. Вся загвоздка в том, что когда я пытаюсь ГЕТом отправить тот же запрос, ЯС цуко не выполняется.

Вопрос то собственно полунубоффский, как в такой ситуации составить линк чтобы при заходе на него выполнялся код (хотя бы алерт('ы'); )

А ещё этот js выполнился в фид ридере, не буду больше им просматривать новые темы :/

Дай ссылочку, посмотрю

гм. ну, в целом, я пораскинул мосхом, хсс провел. теперь есть куча кукисофф такого вида:

PHPSESSID=d0rvupaq7uonhnuoq6hjqtcac6; hotlog=1; VOTE=-1; UID=12345; PASSWORD=847b1b4e302a76b8af50cc6473557aa9

смотрел свои куки для авторизации, они _примерно_ такого же вида... я изменил значения, но вот в чем штука... даже после изменений куки авторизация не проходит.
в чем мождет быть проблема?


ЗЫ NOmeR1, интересно бы мнение о сайте обсудить в асе...
500-23-18