Primjer posta koji to (zlo)upotrebljava: http://www.bug.hr/forum/post/ostalo/smijesne-slike/5058797.aspx
Opis slike se ne čisti, već se omogućuje unos html tagova, uključujući i js tag.
Moguće su i daleko gore zloupotrebe!
Primjer posta koji to (zlo)upotrebljava: http://www.bug.hr/forum/post/ostalo/smijesne-slike/5058797.aspx
Opis slike se ne čisti, već se omogućuje unos html tagova, uključujući i js tag.
Moguće su i daleko gore zloupotrebe!
Nije zero day exploit jer se već koristilo na forumu. Onaj tko ima namjeru iskoristiti će jednako lako skužiti kako je napravljano u linkanom postu.
Nije zero day exploit jer se već koristilo na forumu. Onaj tko ima namjeru iskoristiti će jednako lako skužiti kako je napravljano u linkanom postu.
Nije, ali je persistent XSS koji svašta može napraviti ako se želi, a objava da postoji prije nego je problem rješen je djetinjasto i nezrelo, skoro pa da želiš da se glupost dogodi. To se tako ne radi.
Jel sad jasnije zašto? S time da se mogu malo gadnije stvari napraviti.
Sređeno.
(Za one koje zanima, kriva je bila skripta za "povećavanje" slika. Ja joj pošaljem escapeano, a ona se napravi blesava pa to vrati natrag u HTML. Treba pazit što se uzima s Interneta. :-))
Hvala svima koji su javili PP, a ne ovdje :-P