Пассивная xss в поле логин - http://heel.org.ua/admin

Перкрёстные ссылки=) http://heel.org.ua/280

added: Так просто они блокируются, но если писать цифры как %30..%39 то это проходит.

__________________
Bedankt euch dafür bei euch selbst.

H_2(S^3/((z1, z2)~(exp(2pi*i/p)z1, exp(2pi*q*i/p)z2)))=Z/pZ

0nep@t0p, не реально воспользоваться.

desTiny, сначала подумал, что действительно пропустил ошибку, а потом проверил все и не догнал, как она проявляется. Помоему - никак

xss
в Имя и Email если ввести неправильный код проверки.

BlackCats, не реально воспользоваться

Давно я столько писем с сайта не получал, так приятно Жаль, что большинство из них содержит <script>, alert(), <STyLe>

Не, просто у тебя вообще-то ссылки типа http://heel.org.ua/123 запрещены, но если вместо этого написать http://heel.org.ua/contacts/%31%32%33, что есть то же самое, то это проходит...

__________________
Bedankt euch dafür bei euch selbst.

H_2(S^3/((z1, z2)~(exp(2pi*i/p)z1, exp(2pi*q*i/p)z2)))=Z/pZ

Да, проходит, не спорю. Все проходит, кроме: http://heel.org.ua/[цифры]

А зачем мне закрывать доступ к остальному? Допустим у меня будут длинные урлы на сайте, спрашивается: почему я должен запретить пользователю сделать из чего-то такого:

http://heel.org.ua/some_cat/index/111/searcher/test/

такое:

http://heel.org.ua/123

???

Вся эта защита была только от банального зацикливания, а передача %00%00 вместо реальных цифр ничего не дает

Отчаявшимся:

Открыл новый сервис: http://heel.org.ua/translit/