Вопрос про проведении атаки класса Xss в форуме Ipb
 

Короче отправляю самому себе приватное сообщение.В теле письма пишу :

[COLOR=http://aaa.aa/=`aaa.jpg]` style=background:url(javascript:alert()) [/COLOR]

Когда открываю письмо то вижу следующее :

` style=background:url(javascript:alert())

Могу ли как нибудь изменить код,чтоб выполнить XSS атаку???

умно...
попробуй посталть:
'['color=red']'xaxaxa'['/color']'
что тогда придет?

попробуй через аватору проведи ксс. вот лик на видео:
http://flood3r.com/video/ipb.rar

Green_Bear ты что написал код,не проконал.Приходит то что и отправил.А при вхломе через аватору,какой мне код надо вставить в картинку???

мда....
открой аватору в блокноте, та что в архиве с видео.

Попробовал,нет доступа на загрузку аватары.Можно только уже предоставленые аватары.Может можно изменить мой вышеописаный код,чтоб я мог бы заполучить кукисы.Так форум сильно защищён.Но дыры конечно будут.Ну что есть какие-нибудь высказывания?

Green_Bear я ни так тебя понял.Когда вставляю твой код '['color=red']'xaxaxa'['/color']' без всяких ковычек,то мне выписывается красным цветом хахаха.

И что дальше???

Ну кто-нить чё-нибудь придумайте.

'['color=red']'xaxaxa'['/color']'
это прикол был... мля... шутка такая...

и я тебе дал линк на реальный баг.

да,но когда я вхожу в Edit avatar,то там вообще нет для ввода url.А когда загружаю с компа при выборе browse,то они говорят,что нельзя.Возможно,что эта кртинка с кодом весит много?

200 байт...