Сообщение от
foozzi
З.Ы а причом тут движок все делается на get запросы серверу
Капитан очевидность...
Это же каким нужно быть криворуким чтобы не прикрыть свою задницу от XSS атак. Сразу говорю, что такие уже вымершие методы не действуют на дле, у них все переменные фильтруются в html сущности (или наоборот, не знаю как правильно) + чпу, и того на выходе, имеем какашку равносильную битью головой об стену. Уязвимость нужно искать в админке, ибо это всегда самое слабое место в движке. Ну или как вариант в самописном модуле, но тут зависит от того кто писал.
Вот на днях выложу свой самопальный движек, посмотрю как ты его взломаешь )))