Po raz kolejny "najlepsza strona polskiej sieci" okazuje się nie być takową. Tym razem persistant XSS można wykonać w panelu fotek. Wystarczy ustawić odpowiednią ramkę. O dziwo skrypt nie filtruje kodu HTML ale usuwa znaki "\", które powinny się pojawić z racji włączonego magic_quotas.

Uznaję, że błąd jest wysokiego ryzyka ponieważ każdy użytkownik (nawet darmowy) może go wykorzystać do swoich niecnych celów. Nie potrzeba wiele aby ofiara otworzyła stronę z fotografią. Wystarczy, że umieszczone zdjęcie będzie bardzo ciekawe ;)

Nasuwa się pytanie: dlaczego programista serwisu zwącego się najlepszym w Polsce nie posiada elementarnej wiedzy związanej z programowaniem serwisów internetowych? Odpowiedź na to pytanie pozostawiam Wam.