Сабж. На сайте есть стандарт: введите логин/пароль. Попробовал в качестве логина ввести так:<img src=http://www.google.ru/images/logo_sm.gif> - Написал: Пользователь (ессно, картинка гугля ))) не существует. Так-так, думаю... Ну-ка подкину тебе еще парочку логинов ... И ничего не произошло: кроме стандарта html не поддерживается. Что можно сделать?
Что ты имеешь ввиду ? Естественно что ни php, ни perl там не будут выполняться ... Посмотри как там проходит авторизация и что прописывается в кукисы ... Т.е. если там хранится пароль/хеш пароля, сессия, то тогда имеет сиысл провести пассивную xss-атаку .... P.S. Кстати, триня фишку один раз подогнал такую я аж афигел: http://a-count.ru/search?searchstring=%3C%3Fphpinfo%28%29%3B%3F%3E
Что ж, посмотрю (обычно я сам пытаюсь понять) Не скажу за всех, но... 70% сайтов, сделанных на моей земле- клад дырок. В одном было даже http://site.url/config.inc
