تغره xss Java.script injection
------------------------------------------
بواسطة Bruce
http://developer.ws.ly
------------------------------------------
كود الحقن : علي الخاص
توجد ثغره بسيطه في ملف الـ show.php وذلك لعدم تأمين متغير id من مصفوفة _GET
طريقة الحل
افتح ملف show.php
ابحث عن
CODE
$contopicid = ('index.php?page=topic&show=1&id=' .$_GET['id']);
استبدلها بـ
CODE
$contopicid = 'index.php?page=topic&show=1&id=' .intval($_GET['id']);
سلام