Есть маленькая просьба, для любителей активных XSS. Написал небольшой парсер ББ кодов, постарался уделить максимальное внимание безопасности. Парсер пока еще сырой, но работает с тэгами URL и IMG, насколько я знаю - самыми опасными тэгами)) Отсюда просьба - проверить парсер на наличие активных XSS - буду очень благодарен! Всем кто поможет поставлю плюс! Замечания о недостаточной проверке ссылок на валидность (т.е. по маске http://www.и.т.п ) просьба не оставлять т.к. интересует только наличие XSS http://cyber.vip.su/bb.php
Активных хсс пока не нашёл но сниффер Ачатовский стоит уже! см. лог здесь http://antichat.ru/s/(кое_што)/log.php
вот: естественно без _ т.к это чеб форум не резал)) кстати парсит НЕ правильно! вот: парсит как: <a href="11">Ссылка 1[/URL] Ссылка 2[/URL]<img src="ссылка" /></a> [QU...ить куки нужно произвольный скрипт выполнить!
очень интересно как ты собрался их выдергивать!!! есле не сложно раскажи)) можеш даже с примерами!)))))
да get'ом ещё пользуються! а за снифаки сорри! я просто со своим ником 3атупил )) приходиться нахлебничать! но исключительно в своих целях!
Ну да - про самую фигню как всегда забыл. Но думаю это автоматом закроется когда ссылки будут проверять на валидность и будет добавляться http:// в начало. Ну с парсингом еще надо будет работать. Там много глюков в первую очередь от того, что он фильтрует вложенность некоторых тэгов. Типа [_URL=[_IMG]123[_/IMG]]456[_/URL]. Основной упор я сейчас делаю именно на вложенные тэги. Спрасибо что откликнулся, поставил +!
