ок! посмотрим

в самом чате там вроде все проверяется
но там вроде есть дополнительный скрипт для поиска юзера, в нем вроде xss есть

да такой скрипт и правда есть пример на чате
http://chat.hitv.ru/users.php
так же там есть xss
<script&gt;alert();&lt;/script&gt; -ок
<script&gt;alert(123);&lt;/script&gt; - ок
<script&gt;alert(as);&lt;/script&gt; - уже не ок
<script&gt;alert('as&#39;&lt;/script&gt;- тут интереснее
database error: cannot search user
You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'as&#39;%'' at line 1
кажется возможен sql-injection хотя не буду утверждать
+ это же скрипт поиска а не инфы ,ты несможешь сохранить свой ява скрипт &nbsp;и показать его ламеру чтобы перехватить его сессию
в общем смотрите ; ) я зайду еще
удачи

ps: http://chat.hitv.ru/ разрешено входить только 1 человеку ( не используя прокси есесно : ) )
и http://chat.hitv.ru/board_send.php?session=blablabla
в поле тема и сообщение теги фильтруются, неработает
=(
http://tehline.ru/test.jpg
интересно однако можно на сайте вставить картинку
разрешено выполнение этого веб индикатора
но поменять код на свой ява скрипт вроде нельзя
удач

В директорию /chat/photos/0/ можно загружать любые файлы (хранятся фото участников чата), но только с расширением gif или jpg, вот как бы можно было, например, исполнить РНР-скрипт, загруженный туда?

Загрузить - загрузил, на месте картинки имеется пустой квадратик, когда же напрямую обращаюсь к этому файлу, например http://chat/photos/0/1234.big.jpg, то показывается исходный код скрипта...

Есть вот еще какая вещь...
http://chat/admin/index.php

В принципе, возможно использование WWWhack....

Эта Админка только для верховного админа или для всех админов?

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (NoOne @ октября 30 2004,16:49)</td></tr><tr><td id="QUOTE">то показывается исходный код скрипта...[/QUOTE]<span id='postcolor'>
А если загрузить javascript, он срабатывает ?
типа
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Исходный код </td></tr><tr><td id="CODE">
<script>alert()</script>
[/QUOTE]<span id='postcolor'>

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (Algol @ октября 30 2004,17:00)</td></tr><tr><td id="QUOTE"></span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (NoOne @ октября 30 2004,16:49)</td></tr><tr><td id="QUOTE">то показывается исходный код скрипта...[/QUOTE]<span id='postcolor'>
А если загрузить javascript, он срабатывает ?
типа
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Исходный код </td></tr><tr><td id="CODE">
<script>alert()</script>
[/QUOTE]<span id='postcolor'>[/QUOTE]<span id='postcolor'>
))))))))))))))))))))))))))))
Срабатывает
))))))))))))))))))))))))))))

Вот только что дальше делать?
Извиняюсь, может быть, за столь глупый вопрос, но хотя бы общие черты дальнейших действий...

Раз срабатывает, значит возможен пассивный XSS, и угон куков.
Суть уязвимости такова - поскольку скрипт срабатывает в домене самого чата, то этому скрипту будут доступны куки того, у кого этот скрипт срабатывает (например админа).
Использовать так:
под видом картинки заливается скрипт, отсылающий куки на сниффер(пример приведен в описании cgi-сниффера), плюс к этому - скрипт также должен отобразить рисунок (что бы админ ничего не заподозрил). А далее нужно каким-то образом заставить админа взглянуть на твою фотку. Это можно сделать кучей способов. Начиная от тупого кидания линка в приват, и заканчивая заманиванием админа на свой сайт, где этот линк откроется в скрытом фрейме.

(только предварительно выясни есть ли что то полезное в куках вообще)))

Algol, спасибо большое за столь подробное объяснение, мало кто так толково объяснит и таким нормальным человеческим языком :)

От куков никакой пользы вообще нет, в них передается номер комнаты, цвет и сам ник, а вот самое главное - это сессия, которая передается только в строке адреса....

А можно каким-либо образом перехватить значение сессии не через куки?