факт не нужно доказывать, если взломаешь, то факты будут у тебя, а пока система не взломана, то фактами располагаю я.
=)))) ой блин сколькож тут киди-_)__)))))
А кто сказал, что Ucoz CMS не кто не ломал?
если ты не знаешь, то незначит, что его не ломали.
Повторю, докажи, что данная CMS неуязвима и я докажу тебе, что она уязвима=)))
Цитата:
в профайле в поле ссылки на аватуру.
Можно выполнить експлутировать скрипт
javascript: анти-киддис-бгг
vbscript: анти-киддис-бгг
дайка ссылку где ты в аватару на юкозе смог XSS засунуть. а то говорить ты горазд, это очень заментно.
В профайле видишь "Аватар (www адрес):"
Дальше не спрашивай, что к чему...т.к. активную XSS показал, кое кто поймёт как обхадить фильтрацию нужных символов а киддисам и знать не надо.
очень много от тебя никто не просит, покажи ОДНУ.
Ну ты чё мой пост не видел, посматри выше где я привёл пассивную XSS на Юкозе.
Через автоформу Постом ударяем по пасивке=)))
http://mirinet.narod.ru/ucoz_passiv.html
ты даже не знаешь что пароль и мыло меняются при редактировании профиля.... если бы знал то так бы и сказал, а не разделял эти два понятия. Так вот, мало того что там реферер проверяется, там еще и айди сессии проверяется, а это значит что твоя автоформа не сработает....
ой блин.....всё немогу
просто дикая чушь.
ты понимаешь вообще суть автоформ?
даёшь жертве линк на страничку на которой постом отправляеться запрос на смену пароля или ещё чего нить.
Ну дак вот
посматри в форме профайла какие перменные?
где ты там айди сессии увидел?
Даже если сессию проверяют ...уязвимость не теряеться...т.к. жертва сама не зная того меняет у себя пароль (при условии что она авторизирована)
вот меня пока блокирнуло то, что система проверяет реферер..при запуске автоформы сайт мне вернул:
"You are trying to do illegal action!"
ты вообще разбираешься в веб=технологиях или пишешь то что сам можешь придумать? подменить реферер можно только сервер сайд скриптом, которым весь запрос формируешь.... а если подключать яваскрипт или что угодно еще, реферер браузер сам формирует, и значит подделать его не выйдет.
нет я просто люблю выдуммывать=)
чудо, ты хоть понимаешь что, для того чтобы делать SQL инъекции нужно знать структуру базы, название полей и т.д., а для этого нужно исходники изучать....
Твой каждый пост только показывает всю твою малограмотность в веб-технологиях.
Пока ты не продемонстрируешь хоть 1 рабочую дыру на юкозе, будь то XSS через png или аватар или BBкод или что-то еще, или сможешь соорудить рабочую автоформу ты будешь оставаться просто лаптем, который ничего кроме как ляпать не умеет....
Пойми, за нашим разговором следят и другие люди, и они прекрасно видят кто есть кто... так что можешь писать что тебе смешно читать мои сообщения, другие то смеются над тобой...... столько слов про уязвимости юкоза и нулевой результат.
=0))) супер!
===
Слушай меня терзают мутные сомнения=)))
ты случаем не один из моих знакомых, который решил поприкалываться на домной?
если так то ты реально меня достал...респект=)
Если нет - Давай закроем нашу дисскусию, т.к. народу неинтересны наши тупые припинания, он и так сделал выводы...если хочешь я соглашусь что ты прав а я ламер=) стучи 243122140 пообщаемся
Древовидный вид