Вот мой ресурс (который я сделал):

O.M.G. Software зеркало 1 (http://www.omg.com.ua)

O.M.G. Software зеркало 2 (http://www.omg.org.ua)

O.M.G. Software зеркало 3 (http://www.omg.sed.lg.ua)

Интересно мнение профессионалов и рядовых пользователей...

С уважением,
Max32

непристижный и неудобный форум

Ссылки:
http://www.omg.sed.lg.ua/lang/ru/calendar/index.php

http://www.omg.sed.lg.ua/calendar.php?act=see_event&month1=июня&year=2005&cc=<script>alert(/testing_by_censored!/)</script>&link=lang/ru/calendar/672005.txt

Календарь на сайте вообще лишняя вешь... Подбор цветов очень многообразный...

неплохой сайт для фирмы....

to censored! (http://forum.antichat.ru/member.php?u=2463) на сколько я понимаю эта к сожелению пассивная бага и ктомуже всего ничего полезного нестырить. Кстати. Статью по активным XSS никто нехочет написать?

Ну что значит пассивная? То что чтобы она сработала надо на нее направить? Если есть Форум или мыло админа - с этим проблем не будет. Стырить можно Форумные куки.

именно. надо заманить юзверя на Xss. Забей. Это я так просто к слову и мысли в слух написал.....

k00p3r - спасибо - так и задумывалось!

Егорыч+++ Календарь веб-реализация программы "Знаменательные даты", которая является визитной карточкой фирмы... всё равно - спасибо большое!

censored!,(-=util=-) а можно поподробней про баги ? :confused:

Подробнее: всегда надо расчитывать что скрипту может передастся не то что ты планируешь, а совершенно другое. Соответсвенно - ты знаешь что передается скрипту календаря, отсюда пропускай только то что надо, а на остальное ставь фильтр.
По ссылке:
http://www.omg.sed.lg.ua/calendar.php?act=see_event&month1=июня&year=2005&cc=<script>alert(/testing_by_censored!/)</script>&link=lang/ru/calendar/672005.txt
Что может быть:
На форуме в теме или тебе лично по Форумной личке придет письмо:
"С вашего сайта незаконно используют ваши программы! Тут ->" и дальше ссылка на какую-нить страницу. Ты туда зайдешь посмотреть и попадешь на какую-нить липовую страницу. А на этой странице будет в фрейме та ссылка что вверху, но вместо <script>alert(/testing_by_censored!/)</script> будет прописан путь до снифера, который твои куки будет записывать в файл. Так как куки и от Форума запишутся (форм с сайтом на одном домене), то можно зайти зарегистрироваться под пользователем и потом заменить куки на твои. Или же поставить хэш пароля (который также для твоего форума хранится в куках) на расшифровку и удачно расшифровать его.
Тогда можно заходить под Админом и делать с Форумом что хочешь.
Можно пойти и еще дальше (я правда не очень хорошо знаю этот Форум). Можно под Админом разрешить загружать файлы с расширением php (pl, asp) закачать туда веб-шел и попробовать запустить. Если все пройдет нормально - то уже можно будет на твоем сайте редактировать/перемещать/удалять и т.п.

Ну, вообщем, это набросок что может быть при уданом внедрении. Но все зависит и от тебя. даже если и есть XSS не факт что попадут в Админку. Если попадут в Админку - не факт что закачают вебшел. Если закачают вебшел - не факт что он запустится. Ну и т.п.

censored! Спасибо огромное!!! Буду осторожен! Посоветуй пожалуйста какие-нибудь статьи, книги или сайты (любые источники) на тему защиты от взломов... если не тут, то хотябы мылом... За ранее благораден!

Я думаю ты и сам легко найдеш, воспользовавшись поисковиком. А так:
http://antichat.ru
http://void.ru

Просто посмотри видео, почитай статьи. Ведь как говорят: лучшим админом считается хакер.

скора постараюсь в свой раздел статей по этой теме накидать.

Большое спасибо всем!

цвет прикольный. сайт мне нравится... внизу правда желтые буквы не подходят Upd: уже все ок... календарик чтото лишний...

P.s. Меню тоже прикольное...