LINUX.ORG.RU

Я ничего не предлагаю.
Представь, что кто-то в раздел l-o-r постит сообщение:

--------------------------------------------------
Успокойте этого идиота, совсем распоясялся:
http://www.linux.org.ru/search.jsp?q=%22%3E%3C%73%63%72%69%70%74%3E%61%6C%65%...
--------------------------------------------------

Кто-то по невнимательности перейдет по ссылке. Правда у FF есть защита от такого XSS.

PS. Ссылка безопасна )

Deleted
()
Ответ на: комментарий от Deleted

Хм, похоже все гораздо хуже.
FF выводит предупреждение только когда эту ссылку запускаешь из адресной строки. А тут вообще молчит. Так что опасность довольно высокая.

Deleted
()
Ответ на: комментарий от BeerSeller

>ФФ 3.5 Никаких предупреждений

Аналогично

srj ★★
()

О боже, гуголь писали лохи.

wfrr ★★☆
()
Ответ на: комментарий от Deleted

Хотя, макском должен был бы эскейпить приходящую строку,

печеньки грябят так: http://www.linux.org.ru/search.jsp?q="><script>alert(document.cookie)</script>

и фуррифокс ничего не запрещает, попробуйте добавить стрроку которая отправляет кукисы в виде get запроса куданить

wfrr ★★☆
()
Ответ на: комментарий от Deleted

> Так движок тут не при чем. Раз скрипт выполняется, то всё можно.

Движок должен подобные ссылки калечить, имхо.

question4 ★★★★★
() автор топика

Читайте на стоплинуксе:

"ЛОР используют для взлома аккаунтов Вконтакте!"

bulatsib
()
Ответ на: комментарий от Cancellor

> Подтверждаю, алерт выдаёт, от браузера никаких предупреждений (Firefox 3.0.12)

Подтверждаю алерт для SeaMonkey (Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.8.1.22) Gecko/20090710 Fedora/1.1.17-1.fc11 SeaMonkey/1.1.17)

dexpl ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.