01.05.2010, 16:30
|
|
Moderator - Level 7
Регистрация: 19.12.2008
Сообщений: 1,203
Провел на форуме:
5011696
Репутация:
2221
|
|
Активная XSS:
index.php?page=usercp&do=user&action=change&uid=В аш уид. (Кароче change profile в My panel).
Меняем Avatar(Url) на:
jav ascript:alert();%00.gif
// Здесь этот пробел отфильтровал форум. Берём здесь http://ha.ckers.org/xss.html#XSS_Embedded_tab
Как бы надо хоть как javascript заменять на что-то подобное 
Суть такова, что в конце обязательно нужен .gif,.jpg,.bmp или .png
Но если делать в <IMG src='javascript:alert();.gif'>
То код выполняться небудет, обычным нулл байтом прокатило
Вообшем в модуле форум (не смф, а родной Xbtit'овский) при создании темы / сообщения, XSS срабатывает
// Ulalala |
|
|