La verdad es que no he dedicado apenas tiempo en buscar un XSS, pero esos dominios echan para atrás a cualquiera...xD Lo que quiero proponer es que se añadan algunos dominios más. Que cada día cuesta más encontrar allí...

Aún así iré buscando a ratos, a ver si sale el bug.

Un saludo.

PD: He probado un par de fakes a ver si se los comía la expresión regular...xD Pero parece que nah... T_T

Yo apostaría a que si es una expresión regular...


Y lo de que se lo salta, lo afirmo. Haz la prueba. O mira el código de mi firma y verás que la url de mi imagen no pasa por el cache de elhacker.net.

^^

Que curioso que me tope con este post ahora...xD Justo estaba haciendo pruebas para usar a la gente del foro, que viera mi firma, con fines malvados y me dí cuenta de lo de http://r.i.elhacker.net.

Por suerte debe tratarse de una (muy) sencilla expresión regular, porque como bien habéis dicho en el avatar no se revisa nada, y con añadir un atributo a [img] nos lo saltamos... =P

Ejemplo: [img alt="noproxy"]http://localhost/firma.php[/img]

Pero si son todos el mismo...xD

Además, el último de netscape no es ni siquiera un bypass. ¬¬

A lo mucho se puede considerar el de SeC, que usa "style" en lugar de "script". Y da igual poner atributos, no afectan.

Quiero una cuenta... =P