не совсем так
можно было смотреть альбомы у закрытых анкет, т.е. если анкета закрыта для все кроме какой то группы то альбомы этой анкеты увидеть можно было, но недавно прикрыли и это...
однако если в превьюхе закрытого альбома есть пикча, то можно эту картинку увидеть в нормальном размере, достаточно изменить в названии картинки m на x, но тут возникает вопрос как смотреть дальше то... ибо имена картинок идут непонятно как... сдается мне что используется в именовании чтото типа хэширования или чего то подобного.. но вот как это для того чтобы раскрутить всю цепочку... это вопрос...

http://vkontakte.ru/profile.php Заходим в свой профиль и пишем у себя на стене =)

nice :] alert forever :)

Кстати это прокатывает и на стенах других пользователей.

ну вообще, как я понял катит всё что начинается с ! , а вот что с этим дальше сделать...

есть xss активная в друзьях- http://vkontakte.ru/friend.php в быстром поиске.

боян, всё равно там она никуда не передаётся

вообще там очень интересная фильтрация
1)если написать в тексте на стене && (или ++), причём даже если не подряд, то после второго символа &(+), все удалится вместе с ним
2)потом бывает фигня что когда запишешь что-то типа &!&!&! то выводится сообщение:"Ваше сообщение добавлено", которое закрывает всю стену, после обновления этого сообщения вообще нет, но это бывает не всегда
3)если написать javascript то фильтр изменит это на javas?1?ript
4)если шифровать javascript в url системе то выведется %6Aavascript
5)если написать только // то оно не выводится, хотя пишут, что сообщение отправлено, наверно это связано с автоопределением ссылки
вот так вот, так что они там нехилую фильтрацию поставили=)

Фигня, все эти фильтры так или иначе обходятся.

мона просто сделать тока вот это тока в ие будет работать)

PS странно, в фф тож сработало)