Ломаю тут один форум..Через цвет. Форум на движке YaBB(цвет вставляется с помощью [ color ]). Много какие форумы таким макаром у меня ломались. А тут - ни в какую. Пошел смотреть HTML-код. Выяснил, что форум заключает все, что находится после знака равно в кавычки. Если я ставлю кавычки в тело тега, форум переводит их в символьный код. Фокус с символом "\" не проходит. На всякий случай попробовал и символ "/", но особых изменений не последовало. Вопрос такой: реально ли обойти кавычки?
символ "\" это внутренняя фича ПХП - так называемая экранировка. Ее можно отключить в пхп.ини (magic_quotes_gpc=Off) файле и многие продвинутые так и поступают. ЯББ написан именно на пхп. его можно свободно скачать, например попробуй эту ссылку: http://tomahawk.hoha.ru/download/YaBB_1Gold_SP1.3.1.rar Есть много версий, выясни какая именно там установлена и попытайся достать исходники именно этой версии. Поставь ее себе и тренируйся=)
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (Matias @ декабря 15 2003,20:09)</td></tr><tr><td id="QUOTE">реально ли обойти кавычки?[/QUOTE]<span id='postcolor'> Думаю что нет. Если атрибут в кавычках (типа color="мой цвет", и символ " преобразуется в &quot;, то выйти за пределы атрибута не удастся. Символ же \ может спасти только внутри джаваскриптовского обработчика. Внутри атрибута color он ни на что не влияет.
Radid Rabbit, фэнькс за ссылку, именно та версия.. За инфу тоже фэнькс. Будем эксперементировать. Алгол, жаль... Спасибо, что объяснил. Кстати, а у на этом то форуме нелогично как-то получается. Картинки отключены, а аватары..Алгол, ты на 100% уверен, что здесь в аватар скрипт нельзя вставить?.. Аватары обрубать, помоему необязательно, но проверить защищенность не мешает..Это так, к слову..
Ха, тут один чел так и делал. Я просто вижу ты тут недавно=) У некого "next" вместо аватара именно скрипт и стоял=) Он таким образом айпишники мотрел (разрешение экрана, браузер, т.п.) но совершенно необязательно для такой тривиальной задачи было снифера прописывать, достаточно просто вставить свою картинку а потом посотреть логи сервака=)))
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (Matias @ декабря 16 2003,20:18)</td></tr><tr><td id="QUOTE">Кстати, а у на этом то форуме нелогично как-то получается. Картинки отключены, а аватары..Алгол, ты на 100% уверен, что здесь в аватар скрипт нельзя вставить?..[/QUOTE]<span id='postcolor'> В аватор скрипт вставить нельзя (только сниффер), зато скрипт можно вставлять в некоторые IB коды (типа [color]). Можно конечно заблокировать все эти коды, но не хочется ущемлять возможности форума. Главное что админка в этом форуме хорошо защищена, и через скрипт к ней доступ так просто не получишь ))
