miren, estoy en un pryectito recontra chico, si anduvieron por el foro de php hace unas semansa, es de un cpanel de administracion bastante chotito, lo que uiqero es agregar una imagen avatar y lo que hace es en un texybox vos agregas la direccion de la imagen, despues de htmlentities y todo el chirimbolo, lo agrega en un "<img src=ladireccion>"ahora, yo pienso que si ahi se puede poner un .js para que me ejecute el codigo, eso me lo pueden hacer=? es posible ejecutar codigo arbitrario?
En internet explorer 5 si puedes vulnerar al explorador con esas cosas, incluso si das de dirección "javascript:alert(0);" pero firefox y las versiones actuales de los exploradores no te permiten eso asi que solamente se ejecutaría en exploradores antiguamente desastrozos como ie5.
no, yo no digo xss, sino de inyectar una web ajena con codigo ahi si, maligno o no quien sabe... jejej eso que decis siempre tiene filtrops, jaja y te aparece: