Да xss только потому что кавычки не экранируются никак. Как только @arts починит, то смысла в нем не останется. Я не ломаю сейчас psto, я помогаю его чинить. Поэтому первое, что в голову пришло, публикую. С детства увлекаюсь такой хуйней, но если я хорошо отношусь к руководству сайта, как сейчас, то только тыкаю пальцем. Или ты о том, что @arts тупой и не может regexp починить свой?
;%22onclick=%22alert(/УЯЗВИМОСТЯМИ САЙТ НАПОЛНЕН!/);)
37 comments
recommend
bookmark
subscribe
у меня
у тебя
Ну вообще без палева, особенно учитывая то, что большинство сидят через жаббер.
у меня лущ было
Согласна.
мне похуй, срсли
не ну рли, я не нуждаюсь в одобрении тем более от таких неудачников по жизни как ты
Заебал флудить же, ну.
А почему у меня один раз алерт был? Должно же джва, нет?
ппц ты тупая
Да, не шарю абсолютно, похоже. Потому и спросила.
там же рюзским по белому написано онклуцк
А onload?
это выполняется когда элемент и его содержимое полностью загружены браузером, есть еще onclick, который работает по клику
А да, протупила, извините. А почему у меня джва раза генерился алерт по клику? А почему сейчас вообще перестал?
А еще в разных браузерах может работать (неработать) по-разному. Я поэтому и выкидываю в паблик. Ожидал комментариев вроде «у меня IE9, никаких XSS».
попроси у путина стабильность
да боже мой, всем насрать
@ARTS пофиксил.
Оперативно.
мои баги медленне фиксил, хотя с моими можно было много веселухи наворотить. например, спиздить аккаунты
или подписать на кучу тегов, а отписываться от них можно только по одному!
:-D
XDDDDDDDDD
У меня жаббер. Клиент парсит как ссылку только часть до начала скрипта, поэтому даже кликнув, я перехожу на картинку.
Олсо, фотка — говно.
даже перейдя по полной ссылке нихуя не будет
Нет. Еще onclick на странице профиля осталось в <a href="%image%"onclick="%xss" … />
хули он тупой не может убрать кавычки из регекспа или делать urlencode
У меня норм парсит
вообще пиздец, куда идут наши налоги!
ты лох
передай другому
Ты лох.
мои
Да xss только потому что кавычки не экранируются никак. Как только @arts починит, то смысла в нем не останется. Я не ломаю сейчас psto, я помогаю его чинить. Поэтому первое, что в голову пришло, публикую. С детства увлекаюсь такой хуйней, но если я хорошо отношусь к руководству сайта, как сейчас, то только тыкаю пальцем. Или ты о том, что @arts тупой и не может regexp починить свой?
очень интересно, продолжай