XSS через PHP_SELF

Здравствуйте!
На днях обзавелся пробной програмкой для сканирования сайта и она показывает что использование $_SERVER['PHP_SELF'] не безопасно и что можно встроить JavaScript код. Отсюда вопрос. Какая опассность может быть для сайта если пользователь отакует сам себя. Этот же код выполнится только на его компьютере. Не где не сохраняется он.

А пример экспоита можно? Мне что-то воображения не хватает, как извернуться надо.

-----
PostgreSQL DBA

Да-да, я еще у себя на хосте могу организовать скрипт с PHP_SELF а вы туда зайдете и мы посмотрим что вы туда на-XSS-или.

-----
Шта? Репозиторий?

Мелкий
пример
Ну а по теме - это пример "пассивного" XSS - то есть он, хоть и не сохраняется нигде, тем не менее все же может быть опасным, так как злоумышленник может передать ссылку на такую страницу атакуемому пользователю и все будет зависеть от того, перейдет ли тот по ней или нет (социальная инженерия и т.п.).

-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

Понял как можно наколоть людей.
В общем самому сайту не чего не угрожает, скажем есть сайт и форум к нему. Я Говорю о ребята тут класная вешь есть вставляю ссылку на этот же сайт. Вполне вероятно что пользователи авторизированы и у них есть учетки на главном сайте+авторизировны=>можно своровать cookie

savenko
Примерно так. Здесь уже все зависит от способов подачи вредоносной ссылки (то есть поверят Вам или нет). Самому сайту это так же может угрожать, так как объектом таких атак может быть сам администратор сайта (как правило, цель именно в получении административного доступа) - и, в зависимости от его привилегий, сам сервер тоже может быть подвергнут опасности.

-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

И еще вопрос немного не по теме но тоже относится к хакингу:
Говорят что выставить права на папки 777 очень не безопасно и любой школьник сможет взломать. Как зная папку и знаю что в ней можно сделать все отправить туда файл который зальет другие файлы. В интернете просто везде пишут что это очень опасно ставить 777

savenko
Имеется ввиду, что при бездумном выставлении прав 777 на каталоги, пользователи смогут попытаться использовать имеющиеся на сайте возможности загрузки (аплоада) для того, чтобы загрузить туда что-нибудь наподобие веб-шелла - это возможно благодаря сочетанию "запись"+"исполнение". Но возможно это не всегда, тем не менее крайне не рекомендуется давать более широкие права, чем требуется - общее правило - сначала отнять вообще все права, затем при необходимости добавлять нужные.

-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

о_О - никогда не юзал PHP_SELF, не, ну было дело пару раз на заре начала...
Интересная штука.
(Добавление)
Вобщем еще раз - проверяем и чистим ВСЕ данные.
А в примере на оверфловочке поможет то что там указали + rawurldecode

-----
Шта? Репозиторий?