Проверьте код

768
.
The Frontend-Warrior
бывает
--
zumak, вариант с chmod 0600 работает
http://efimoff.vov.ru/file.txt
.
Ps - наше всё
Переименовано, перенесено.
.
Поверь в мечту!
elkol (11.06.2012/11:47)
При xss не нужна никакая выборка и запись в таблицу.
На сколько я знаю есть активные и есть пассивные xss уязвимости.
Для их проведения нужны хотя бы поля ввода данных, если фильтр плохо фильтрует запрос или его просто нет то можно внедрить вредоносный код.
Где тут поля ввода?
или я чего то не догнал?)
.
zumak, Я не про этот код говорю. Смотри цитату
.
zumak (11.06.2012/15:43)
На сколько я знаю есть активные и есть пассивные xss уязвимости.
Для их проведения нужны хотя бы поля ввода данных, если фильтр плохо фильтрует запрос или его просто нет то можно внедрить вредоносный
Для пассивных необязательно
.
Поверь в мечту!
elkol (11.06.2012/15:50)
Для пассивных необязательно
Ну так как его выполнить если полей ввода нет? В строке адреса?
.
zumak, Да. В строку вводишь код
.
Поверь в мечту!
elkol (11.06.2012/16:00)
zumak, Да. В строку вводишь код
Как вариант защиты можно сделать параметр $_GET['act'] числовым значением и собсна проверять эту переменную на числовой тип)
.
Поверь в мечту!
Кстати давно видел в корне двиге объявление этой переменной act, она разве там не проходит фильтр?… или я не о том думаю?)Гг
.
zumak (11.06.2012/16:08)
Как вариант защиты можно сделать параметр $_GET['act'] числовым значением и собсна проверять эту переменную на числовой тип)
Да я об этом в начале говорил. Чтобы от греха подальше
Всего: 33