любителям Xss
 

Есть маленькая просьба, для любителей активных XSS.
Написал небольшой парсер ББ кодов, постарался уделить максимальное внимание безопасности. Парсер пока еще сырой, но работает с тэгами URL и IMG, насколько я знаю - самыми опасными тэгами))
Отсюда просьба - проверить парсер на наличие активных XSS - буду очень благодарен! Всем кто поможет поставлю плюс!
Замечания о недостаточной проверке ссылок на валидность (т.е. по маске http://www.и.т.п ) просьба не оставлять т.к. интересует только наличие XSS
http://cyber.vip.su/bb.php

кинь исходник проще искать будет

Активных хсс пока не нашёл но сниффер Ачатовский стоит уже!
см. лог здесь
http://antichat.ru/s/(кое_што)/log.php

вот:
естественно без _ т.к это чеб форум не резал))


кстати парсит НЕ правильно!
вот:
парсит как:
<a href="11">Ссылка 1[/URL] Ссылка 2[/URL][URL]<img src="ссылка" /></a>



А понту?? картинку со снифером можно куда угодно вставить, но чтоб получить куки нужно произвольный скрипт выполнить!

не спорю! а вдруг там переменные pass=&login=&
будут передаваться методом get ? тогда пригодиться!

очень интересно как ты собрался их выдергивать!!!
есле не сложно раскажи)) можеш даже с примерами!)))))

ну вот например лог другого снифера!
глянь на реферер!
http://antichat.ru/s/(кое_што)/log.php

ну это надо быть полным дол**м чтоб после авторицации везде гетом передавать логин и пас...

да get'ом ещё пользуються!
а за снифаки сорри! я просто со своим ником 3атупил )) приходиться нахлебничать! но исключительно в своих целях!

Ну да - про самую фигню как всегда забыл. Но думаю это автоматом закроется когда ссылки будут проверять на валидность и будет добавляться http:// в начало.
Ну с парсингом еще надо будет работать. Там много глюков в первую очередь от того, что он фильтрует вложенность некоторых тэгов. Типа [_URL=[_IMG]123[_/IMG]]456[_/URL]. Основной упор я сейчас делаю именно на вложенные тэги.
Спрасибо что откликнулся, поставил +!