Кто-то знает надежные глюки обработки http-запросов (с данными форм) скриптами? У цели поля форм фильтруются отлично. Может, подделка http-запроса позволит запустить свой код со стороны сервера?
эх.... со сотороны сервеа запускаются такие скрипты как .php и .pl ну и .cgi + еще некоторые СЕРВЕРНЫЕ языки... если ты хочеш провести XSS то только с формы... и это будет происходить не на сервере а у клиента в браузере!!! Если только значения формы не передаются ф-ии system() и ей подобной... тогда можно попробовать чтото типа: ;id;
При работе с формами классическими являются уязвимости классов SQL-injection и XSS. Подделка HTTP запросов в таких случаях нужна, если помимо введенных тобой в форму данных отправляются еще какие-то hidden поля, либо введенные тобой данные фильтруются JavaScript'ом (ну или vbscript'ом) перед отправкой. Хотя я встречал и php-инъекцию в hidden поле
Например если есть такой (а они есть)) скрипт который сохраняет реф когда оставляешь камменты ( и ее может видеть только Админ) то можно подделать ее через хттп запросы а примером тому является Coppermine Fotogallery (помоему немного старая версия) потом можно с куками замутить=) еще можно ПОСТ запрос замутить на бажные скрипты-получится выполнение комманд(обычно .cgi .pl скрипты)
ой мля, улыбнуло не по-деццки )))) на бажность скрипта никак не влияет пост запрос или гет,просто в скриптах бывают проверки на гет или пост запрос...
а помоему ты и я сказали одно и тоже.. нет? я знаю что не влияет я знаю что в скрипте проиходит из за недостатоыной обработки входных данных... может я как то нелепо сказално чтоб ему было понятно
