Когда пишеш кому-то в пм, то в поле заголовок прописываеш '><script>Alert(/xss/)</script> , потом
жмеш предварительный просмотр и вуаля, правда не везде канает.

Хех, а какие-нибудь иные варианты найдутся?

это я так понял относится не только к ipb но к другим в частности (для меня )))) phpbb,
то есть я с таким же успехом могу зайти в лбую тему написать любое предложение а затем '><script>alert()</script> прописать.Затем нажать предварительный просмотор как в случае отправки сообщения в пм,и может повезт,появится алерт.Я правильно понял??

Речь идет о ipb, а не о phpbb.



p.s.Хотя пробуй, может найдеш чтото

Как-то странно. За всю историю Ipb было найденно множество дырок в различных версиях.

Та что же мешало опытнейшему разработчику за минуту накалякать простенький фильтр для последней версии? Как-то неправдободобно.../

Silent посещай по чаще такие ресурсы и сразу поймешь что для чего делается.

Тебе обезательно XSS надо? А то есть там SQL_injection! вот хочишь почитать:
http://forum.antichat.ru/thread25088.html

Зачастую доморощенные хацкеры/коддеры забывают сделать самую просту фильтрацию на формы, а всякую херь антихаккерскую прикрутить не забывают...
Если это дело действительно работает - то что следует говорить об уровне "мозгов" в Invision Power Services ? Хотя... и на старуху бывает проруха =) где-то я уже это слышал )

короче я на одном форуме,попробовал вот что короче вхожу в созданную тему,(форум кстати на phpbb 2.0.19,это я точно на 70 процентов знаю)тама создаю сообщение и ввожу "><script>alert</script> и нажимаю предварительный просмотор,ничего не выходит,получается алерт не срабатывает,значит xss на создани сообщений проходит??Или вообще на форуме не проходит,проверил фильтр он работает кажись нормально,что мне теперь делать??