И не говори

"Chyvakoff" wrote:

Можно через js послать на свой сервак id куки админа, если конечно твой js пролезет через full_html. и в семёрке это потруднее будет, чем в шестёрке.

через full еще как пролезет, правда его может обрезать визивиг, но защита визивига спасет только от чайников, ибо там достаточно просто отключить ява скрипт в браузере.

https://www.ibm.com/developerworks/ru/library/wa-javascriptstart2/

да причем тут визуальный редактор? суть в том, что с fullhtml можно размещать абсолютно любой вредоносный код, выполняемый на стороне клиента, потому теги script, iframe, object и им подобные лучше блокировать, ибо через любой из них можно взломать просмотревшего(необязательно админа), а далее, в зависимости от того, что было использовано, можно украсть все что угодно(чаще просто воруют кукис с админкой, ибо это просто). То есть ломают не сайт, ломают Ваше устройство, с которого вы зашли на страницу с этим кодом, а далее, получив от Вас доступ к серверу(в некоторых случаях возможно получить доступ ко всей Вашей личной информации, включая номера телефонов любовниц), просто заходят на него под Вашей же учетной записью и делают там все, что душа пожелает.

а что, надо готовенькое? раз такие вопросы, то книжку для чайников и надо

кстати не так все просто разная фигня вроде Drupal.tableDrag.showWeight забирается из document.cookie, а вот сессия нет, т.к. идет с флагом HttpOnly

Cookies are not directly visible to client-side programs such as JavaScript if they have been sent with the HttpOnly flag. From the point of view of the server, the only difference with respect of the normal case is that the set-cookie header line is added a new field containing the string `HttpOnly':

Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.example.net; HttpOnly

When the browser receives such a cookie, it is supposed to use it as usual in the following HTTP exchanges, but not to make it visible to client-side scripts. The HttpOnly flag is not part of any standard, and is not implemented in all browsers.

через js куку нужную не своруешь
если php не разрешен, а он по умолчанию НЕ разрешен в Full HTML, то что дальше?

в 6рке стырить можно, она этот флаг не ставит, а с 7ркой остается, например, каким-то образом закинуть клиенту троян, правда при этом, пусть он и не сработает(допустим, у всех посетителей софт с последними обновлениями, антивирусы в наличии и т.д.), но его может оказаться вполне достаточно для отправки сайта в бан(на карантин, так сказать) в гугле и яндексе. Правда что-то я давно троянов в интернете не встречал(естественно специально их и не искал), кроме как на андроид.

я чего-то не понимаю может, но как это относится к вопросу ТС?)

Заражаем админа трояном, через который и получаем доступ к админке зараженного сайта, а так же других, правда в основном воруют ftp.

фтп и прочее троян сворует, только если пароли сохранены где-то, да и админ должен быть с дыркой, которую будет эксплуатировать эксплойт, но в целом можно рассматривать, как вариант))

".poltergeist" wrote:

фтп и прочее троян сворует, только если пароли сохранены где-то, да и админ должен быть с дыркой, которую будет эксплуатировать эксплойт, но в целом можно рассматривать, как вариант))

если админ позволил анонимам размещать на сайте FullHTML(поленился?), то наличие у него пиратской винды с отсутствующими обновлениями, отсутствие антивируса, а так же сохранение паролей(поленился там - поленится и тут) где нипопадя не будет столь удивительным.