Обсуждение статьи
Межсайтовый скриптинг в vBulletin
|
07.11.2005 21:59:11
|
|
|
|
|
|
07.11.2005 21:59:12
Забавненько..не везде работает...
|
|
|
|
|
|
08.11.2005 21:33:05
Ага, щас тебе прямо всё-таки и разжевали!
Учи матчасть!!! :funny: |
|
|
|
|
|
08.11.2005 22:12:45
Забыл сообщить: админ может конкретным пользователям настроить профиль, чтобы в поле статус html не воспринимался. Но тогда он не сможет покрасить цветом статус (админы любят красить свой статус красным). Т.е. если кто-то может менять свой статус, но не может внедрить html - просите админа покрасить статус цветом. Админ если согласится - будет вынужден врубить html. Тогда и XSS получите. Админ НЕ может сделать так, чтобы только он мог вам html прописывать: либо вы оба с админом можете, либо не можете. По крайней мере такой настройки в форумах исследованных без всяких хаков я не встречал...
Гость Можно вставлять любые теги html: не обязательно <body onLoad. Классическая XSS. Любой пример с этого самого античата проканает.
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
|
|
|
|
|
|
09.11.2005 20:54:13
is super :offtop:
|
|
|
|
|
|
10.11.2005 15:34:30
Старая версия, ща сейчас нечасто такую встретишь
|
|
|
|
|
|
13.11.2005 20:06:20
Great, во-первых, тут версия не одна, а как минимум 2. Во-вторых, если я не проверял остальные версии - это ещё не значит, что они не узявимы
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
|
|
|
|
|
|
19.11.2005 23:46:48
bezpantoVA(
|
||||
|
|
|
|||
Читают тему