Ребят... я вновь и вновь извиняюсь, если это инфа не первой свежести... что сам накопал, то выкладываю.... ::XSS:: Создаём нового пользователя. Поля email, имя, фамилия уязвимы. Эти данные видны при просматривании всёх пользователей. Вообще-то вставлять xss-сплойт в поле для емайл будет не очень правильно... Потому что для активации аккаунта нужно кликнуть по линку что придёт на мыло. А мыло-то у нас не валидное =). Но даже в этом случае, при такой левой регистрации ваш созданный юзвер показывается в списке пользователей. И хоть он и является не активным, но зато сплойт будет вполне работоспособным... ::Shell-downloading:: Никакой проверки при закачке смайлов (естественно из админки). ::Trash:: http://bug.ru/chat/members.php?action=view_member&id=1'[BUG HERE] http://bug.ru/chat/admin.php?action=menu&ac='[BUG HERE]&abd='[BUG HERE]&ask=0&au='[BUG HERE]&asm='[BUG HERE]&amodules=0&ac='[BUG HERE] http://bug.ru/chat/admin/bd.php?action=tables2&t='[BUG HERE]