Оставляем комментарий такого вида:

__________________
Не занимаюсь коммерцией в любых ее проявлениях.

Активная хсс в поле "штат вне США (провинция, территория)". Каждый, кто зайдёт в Ваш профиль, напорется на хсс.

Пример запроса:


Пример можно посмотреть здесь:

PS. Не должны быть указаны страна и часовой пояс.

http://robotraff.com/userpanel/selltraff.php
Уязвимы все поля

Результат - http://robotraff.com/userpanel/stats.php?thread=136

http://www.bolero.ru//index.php?level=5&stype=quick&topic=0&cur_topic=0& cur_fquery=%3Cscript%3Ealert%28%5C%27xss%5C%27%29% 3C%2Fscript%3E&sclass=all&cat=0&fquery=%22%3E%3Csc ript%3Ealert%28%27xss%27%29%3C%2Fscript%3E&cat=0&x =0&y=0

http://4pda.ru/sr.php?query=%22%3E%3Cscript%3Ealert('xss')%3C/script%3E

Активная XSS на infostore.org
На момент описания уязвимости, на infostore Администрацией были приняты меры, и включена привязка к IP адресу.
.................................................. .......................
Уязвимость существует из-за недостаточной фильтрации входных данных в поле "текст:"
при добавлении новости пользователем, и в личных сообщениях.
В поле "текст:" пишем следующие:
Также, еще была найдена пассивная XSS
.................................................. .......................
______________________________________________
*****************************************

длина поля maxlength="50" , не хватает, чтобы нормальный редирект на сниффер поставить

Это не сложно обойти с помощью снифера и конструктора запросов, типа naviscope и inetcrack или Data tamper для FF или банального исправления формы у себя на винте

__________________
Карфаген должен быть разрушен...

icq.com

все прошлые прикрыли, но:
опять в блоге, и опять уязвимо поле "Image web address:"
"onmouseover="alert('xss')"
все символы не фильтруются и кол-во не ограниченно

Где находится это поле "Image web address:"?