На форуме WR-Forum © 1.8 совершенно нет проверки на html у себя в подписи... да что там в подписи, вообще практически нигде нету!

Дело было где то часа в 2 ночи... думаю... проект новенький, интересный! есть раздел по JavaScript где мне могут помочь! Но тут столкнулся с неприятностью... В нужном разделе показалось сообщение:
Немного обидевшись решил создать где нить в другом разделе.. и что я увидел:
Дай ка думаю номер нужного раздела поставлю... и уваля! Работает! вот так и обходим ограничение тем
М... понравилось! решил поиграть с форумом)


гыгы) автор скрипта-редиска!
Далее, ввёл номер форума которого нету... и... он есть, наверно "скрытый" раздел...
index.php?fid=x
x-любая цифра

хех... ещё при добавлении сообщения можно спокойно вернуться назад и ещё раз добавить мессагу) короче оспамить легко!

А теперь самое интересное... XSS
У себя в инфе в подписи, да и в других полях анкеты делайте что хотите! =)

Хотим что бы жуткий аллерт досаждал посетителям?
Пишем у себя в статусе:
Хотите стырить куки?
Возьмём к примеру снифер:
Далее подумав, делаем так:
Но у автора стоит ограничение на длину сообщения... кхм... поиграем по его правилам, не долго думая сделал файлик скрипта и залил к себе на хост... => всё да ничего, но у автор форума сделал замену тексту ссылок на хреф... и это не проблема, достаточно лишь закодировать 1ю букву адреса:
И уваля! остаётся только ждать...

И того, это первый мой интересный взлом) спасибо за внимание!

P.s. а дальше дело техники и воображения) Админ есть... куки есть, кстати в незашифрованном виде там пассы...