Привествую. Так как тема не дала широкий резонанс, и была укрыта от глаз юзеров асечки, то представляем к вашему вниманию небольшую статью о выше упомянутом баге xss на icq.com.
Как вы уже поняли речь сейчас не пойдёт об одной ссылке на профиль какого нибудь шестизнака как это было в прошлый раз на форуме и никто не мог понять что это такое, а затронем непосредственно саму xss и что она делает.
На основной странице нового профиля на который вы можете наблюдать вот тут, была найдена xss уязвимость, которая при определённых навыках внедрения HTML(+javascript) кода, который даёт возможность получения контроля над интересующим вас номером (при условии что этот номер авторизован на сайте, и откроет вашу страницу, иначе никак) Всё заключается в том что в профиль возможно вписать код, благодаря которому можно было без ведома другого скажем вашего оппонента сменить на номере контрольные вопросы и что самое важное ответы на них.
Но не всё так просто, при этом возникают такие вот вопросы как:
Есть ли лимит на кол-во символов?
Есть ли лимит на теги?
Как скрыть простановку вопросов?
Как быть если вместо вопросов ответ идет на мыло? и т.д
Так как эта небольшая статья предложена вам в не очень информативном содержании, то для некоторых она так и останется информацией для размышления, а для других, возможно, станет позывом к действиям. enjoy!
В предоставлении информации по багу спасибо человеку под ником 00090009
всем спасибо. все свободны. =)