Пользовался xspider`ом вот че он мне показал: Межсайтовое взаимодействие через Flash Описание Атака осуществляется посредством Flash Player. Для Flash Player действует ряд ограничений (sandbox security model), схожих с ограничениями для Java Applets, которые запрещают доступ к серверу, если его адрес не совпадает с адресом сервера, на котором находится Flash объект. Суть атаки заключается в расширении sandbox (снятии ограничений на доступ к внешним данным) Flash Player для отправления произвольных данных уязвимому данной атаке серверу от лица жертвы. Не маловажно то, что с запросом отправляются и установленные для данного сервера cookies. В общем случае проведение атаки выглядит следующим образом: жертва заходит на некий сайт и при этом загружает Flash объект, который делает запрос на расширение Sandbox серверу и, если все прошло успешно, начинает посылать запросы данному серверу, обрабатывать ответы, если необходимо пересылать их другому серверу. Данная уязвимость может быть использована для кражи информации пользователей, DDoS, накрутки голосований, счетчиков, распределенного подбора паролей и т.д. Незащищенная передача данных Описание Обнаружены формы, использующиеся для передачи важных данных на сервер в незащищенном виде. Протокол HTTP является открытым, то есть трафик общения компьютеров не шифруется и может быть перехвачен путем прослушивания сети. Как этим воспользоватся или вообще можно ли воспользоватся этими уязвимостями?
Нет. Нельзя. Не стоит останавливать на этом своё внимание.. Если тебя действительно интересуют реальные уязвимости сайта тебе следует выяснить целый ряд свойств самого сайта и сервера где он размещен. Первым делом нужно обратить внимание на движок на котором работает сайт, выяснить версию движка и узнать какие дополнения (хаки, модули) установлены. Зачастую на сайтах используется несколько движков - следует обратить внимание на все. После желательно выяснить на какой ОС работает сервер, версии апача (или иного HTTP сервера) версию MySQL (или другой бд). Это уже реально может тебе помочь.. а общие фразы типа тех которые ты привел выше - пустой звук.. Естественно нельзя сказать что уязвимости Flash или незащищенные формы это просто слова.. но настолько тупая формулировка сего не даёт ничего полезного.