Активная XSS через BB Коды! Нужно закрытьhttp://softtime.ru/forumАктивная XSS через BB Коды! Нужно закрытьhttp://softtime.ru/forum/read.php?id_forum=6&id_theme=65596#post381985Попробуй просто javascript:alert('haha') в качестве адреса дать. Активная XSS через BB Коды! Нужно закрытьSun, 7 Jun 2009 11:54:31 +030023423432Активная XSS через BB Коды! Нужно закрытьhttp://softtime.ru/forum/read.php?id_forum=6&id_theme=65596#post381968пассивный xss должен обрабатываться, уж точно, не в процессе парса ББ-кода… пс хотя в коде можно коечто изменить, в preg_replace,...Активная XSS через BB Коды! Нужно закрытьSun, 7 Jun 2009 01:58:17 +0300nikita2206Активная XSS через BB Коды! Нужно закрытьhttp://softtime.ru/forum/read.php?id_forum=6&id_theme=65596#post381889бывают. Но здесь они не проходят как раз в угоду безопасности. Между прочим /thread666.html - ссылка абсолютная. Хотя и локальная.Активная XSS через BB Коды! Нужно закрытьSat, 6 Jun 2009 19:08:33 +0300TrianonАктивная XSS через BB Коды! Нужно закрытьhttp://softtime.ru/forum/read.php?id_forum=6&id_theme=65596#post381884....а ссылки бывают начинаются и с ftp://site.com, https://site.com, а также относительные /thread666.html,Активная XSS через BB Коды! Нужно закрытьSat, 6 Jun 2009 18:32:27 +0300StanisovАктивная XSS через BB Коды! Нужно закрытьhttp://softtime.ru/forum/read.php?id_forum=6&id_theme=65596#post381876потому что здесь не дадут совать в url= что-либо начинающееся не с http://Активная XSS через BB Коды! Нужно закрытьSat, 6 Jun 2009 18:00:20 +0300TrianonАктивная XSS через BB Коды! Нужно закрытьhttp://softtime.ru/forum/read.php?id_forum=6&id_theme=65596#post381875Да, у меня все htmlspecialchars'ом обрабатывается! Но если сделать javascript:alert(document.cookie) то увидишь свои куки и сессию! + еще и на...Активная XSS через BB Коды! Нужно закрытьSat, 6 Jun 2009 17:54:53 +0300StanisovАктивная XSS через BB Коды! Нужно закрытьhttp://softtime.ru/forum/read.php?id_forum=6&id_theme=65596#post381861Тут явно пассивный XSSАктивная XSS через BB Коды! Нужно закрытьSat, 6 Jun 2009 16:30:47 +0300345345Активная XSS через BB Коды! Нужно закрытьhttp://softtime.ru/forum/read.php?id_forum=6&id_theme=65596#post381826"XSS вожможна, просто вставляеш тег между ссылками и все Какой тег? Если html-тег, то достаточно пропустить текст через htmlspecialchars(), чтобы...Активная XSS через BB Коды! Нужно закрытьSat, 6 Jun 2009 15:28:12 +0300CommanderАктивная XSS через BB Коды! Нужно закрытьhttp://softtime.ru/forum/read.php?id_forum=6&id_theme=65596#post381812уже нешел защиту, вот $string = preg_replace('#(script|about|applet|activex|chrome):#isU', "\\1:",$string); XSS вожможна, просто вставляеш тег между ссылками и всеАктивная XSS через BB Коды! Нужно закрытьSat, 6 Jun 2009 14:56:13 +0300StanisovАктивная XSS через BB Коды! Нужно закрытьhttp://softtime.ru/forum/read.php?id_forum=6&id_theme=65596#post381759А как через них XSS возможна?Активная XSS через BB Коды! Нужно закрытьSat, 6 Jun 2009 04:49:52 +0300CommanderАктивная XSS через BB Коды! Нужно закрытьhttp://softtime.ru/forum/read.php?id_forum=6&id_theme=65596#post381727а чего там оттачивать? вот, попробуйте сделать XSS применительно данного "парсера": "?php $text = 'jskfhjkashjkfjk Softtime '; preg_match_all('/\(.+?)\/', $text, $url2);...Активная XSS через BB Коды! Нужно закрытьFri, 5 Jun 2009 23:43:52 +0300nikita2206Активная XSS через BB Коды! Нужно закрытьhttp://softtime.ru/forum/read.php?id_forum=6&id_theme=65596#post381717Используйте отточенные парсеры ББ-кодовАктивная XSS через BB Коды! Нужно закрытьFri, 5 Jun 2009 23:08:07 +0300mihdanАктивная XSS через BB Коды! Нужно закрытьhttp://softtime.ru/forum/read.php?id_forum=6&id_theme=65596#post381383Есть такие хитрые коды, как или , через которые вероятнее всего внедрить XSS, так вот...Активная XSS через BB Коды! Нужно закрытьThu, 4 Jun 2009 11:06:17 +0300Stanisov