|
XSS in Xara
Вот активненькая и к сожалению палевненькая XSS в профиле пользователя. Уязвим параметр \"realname\"
http://snt.by/2.jpg. Загнав туда XSS-сплойт, вы ни где не сможете увидеть результат его работы, зато Админ это увидит сразу! Дело в том, что он не пашет НА САМОМ ВИДНОМ МЕСТЕ! http://snt.by/1.jpg Вот так подстава... Хотя как только Админ полезет: изменять ваш профиль, удалять вас, слать вам мэйл, менять пароль, менять права он попадётся на оставленную нами \"козявку\" =). Палево неимоверное, но всё-таки может кому и пригодится. |
))))) напиши просто те файлы которые нефильтруют параметр.
|
| Время: 01:59 |