В общем, в середине любой страницы делаю <script>alert(document.cookie)</script>, и куки выводится только херь типа bblastvisit, bblastactivity, bbforum_view, а то что нужно, т.е. юзер и хеш - нет. Хотя среди сохранённых кукисов они есть (Тестирую локально). Кто нибудь может подсказать почему выводится не всё и как этого избежать?
в каком смысле? ты насвоем форуме вписал тот скрипт и тебе выводится... хеш не дастся (помоему) там по сессиям если не ошибаюсь... лучше всего пробуй его троянизировать, не надо будет хеш =) если я правельно вопрос понял...
Да, я нашёл XSS на этих версиях булки (может и более ранних, не проверял), но куки выводятся не все а только бесполезные. Ну и для проверки просто локально прям в скриптах прописал алертик с куками, таже лажа.
странно... может там просто попадали незареганые юзеры? куки подставлять пробовал? не меняются юзеры и тд? ) можешь навести пример хоть одной куки? )
ВЫ каком месте ты нашел хсс?? Ничего кроме названий кук и их префиксов ты не увидишь....это так..для вида - я уже смотрел
В админке, но не те что были. Но дело даже не в этом, я редактиурую index.php тупо вставляю туда вывод алертика с кукисами внизу страницы и мне выводятся только безполезные кукисы, типа расположения на форуме, и т.д. Хотя если смотреть сам файлик с куками там куда его кладёт браузер, там есть и хеш и юзер.