1) многочисленные перменные профайла в GET
абсолютная глупость, ничего из того, что нельзя узнать на странице профиля в гете не передается, куки закодированы, в гете только айди пользователя или юкзернейм передается.
2) попытка реализовать автоформу обламалась, так как рефере проверяеться.
судя по первому пункту, не удивительно что ОБЛАМАЛАСЬ....
К примеру поднятия прав до администрирования у определённого пользователя
может стоит проверить самому для начала, можно ли админа получить через автоформу, а потом советовать.... админа назначить через сайт нельзя!
просто смотреть надо шире именно в open sources.
наверное очень широко ты зришь, даже нашел где-то исходник укоза...... да ты крутой парень... может исходники гугла подкинешь?
3)Помоймууязвимость загрузки в качестве аватара png файла со скриптом (класс пассивная XSS).
по твоему это могло сработать только на допотопных браузерах.... хотя из того что ты пишешь видно, что все твои познания очень устарели...
уверен куча там ещё всего
если вся остальная куча в которой ты так уверен такое же "Г", то оставь ее при себе, теплее будет.
на укозе можно только юных простаков ломать, которые не могут нормальный пароль поставить и за 10 попыток их пароль подбирается.... или путем взлома почты и подбора секретного вопроса, но это может получиться если жертву знаешь, так как часто фамилию матери вводят или типа того....
__XT__, www.woweb.ru - взломай этот сайт, на укозе тоже кстати находится, раз такой великий хацкер.