LINUX.ORG.RU

Re: 2 mixrin и Chaoser. Как?

Я ничего не предлагаю.
Представь, что кто-то в раздел l-o-r постит сообщение:

--------------------------------------------------
Успокойте этого идиота, совсем распоясялся:
http://www.linux.org.ru/search.jsp?q=%22%3E%3C%73%63%72%69%70%74%3E%61%6C%65%...
--------------------------------------------------

Кто-то по невнимательности перейдет по ссылке. Правда у FF есть защита от такого XSS.

PS. Ссылка безопасна )

Deleted ()
Ответ на: Re: 2 mixrin и Chaoser. Как? от Deleted

Re: 2 mixrin и Chaoser. Как?

Хм, похоже все гораздо хуже.
FF выводит предупреждение только когда эту ссылку запускаешь из адресной строки. А тут вообще молчит. Так что опасность довольно высокая.

Deleted ()

Re: 2 mixrin и Chaoser. Как?

О боже, гуголь писали лохи.

wfrr ★★☆ ()
Ответ на: Re: 2 mixrin и Chaoser. Как? от Deleted

Re: 2 mixrin и Chaoser. Как?

Хотя, макском должен был бы эскейпить приходящую строку,

печеньки грябят так: http://www.linux.org.ru/search.jsp?q="><script>alert(document.cookie)</script>

и фуррифокс ничего не запрещает, попробуйте добавить стрроку которая отправляет кукисы в виде get запроса куданить

wfrr ★★☆ ()
Ответ на: Re: 2 mixrin и Chaoser. Как? от Deleted

Re: 2 mixrin и Chaoser. Как?

> Так движок тут не при чем. Раз скрипт выполняется, то всё можно.

Движок должен подобные ссылки калечить, имхо.

question4 ★★★★★ ()

Re: 2 mixrin и Chaoser. Как?

Читайте на стоплинуксе:

"ЛОР используют для взлома аккаунтов Вконтакте!"

bulatsib ()
Ответ на: Re: 2 mixrin и Chaoser. Как? от Cancellor

Re: 2 mixrin и Chaoser. Как?

> Подтверждаю, алерт выдаёт, от браузера никаких предупреждений (Firefox 3.0.12)

Подтверждаю алерт для SeaMonkey (Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.8.1.22) Gecko/20090710 Fedora/1.1.17-1.fc11 SeaMonkey/1.1.17)

dexpl ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.