Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Чаты (https://forum.antichat.xyz/forumdisplay.php?f=10)
-   -   Возможные дыры (https://forum.antichat.xyz/showthread.php?t=5890)

Sailor 06.04.2005 17:31
Возможные дыры
 
Чат на php+mysql

укажите на возможные дыры

вот что нашел на данный момент:

1. Цвет сообщения выбирается в меню пользователя и сохраняется в бд (скорее всего), выбрать можно только из предложенных вариантов. Если сохранить фрейм на диск, прописать пути итд, а потом ввести свой цвет (отличный от предложенного) ничего не произойдет. А если сохранить фрейм отправки сообщения (в нем есть строка <input type="hidden" name="color" value="000000">) то значение можно ставить самому, в частности я поставил 000000

2. Если в меню пользователя в поле "ваш URL" ввести символ ' то потом, если просматривать инфу о пользователе из списка присутствующих, то символ пропадает, но в инфе остается.

3. Неправильно работает под браузер myie2. под ie6 после отправки сообщения в отдельном маленьком фрейме появляется ообщение "сообщение отправлено", а в myie2 начинают открываться новые окна.

подскажите, кто что знает

кракер 18.04.2005 09:30
а сам чатк где?

Algol 18.04.2005 11:34
Цитата:
Сообщение от Sailor
2. Если в меню пользователя в поле "ваш URL" ввести символ ' то потом, если просматривать инфу о пользователе из списка присутствующих, то символ пропадает, но в инфе остается.
Наверно здесь XSS есть


Время: 15:32