на страничке, указанной в сабже, пароли либо однорегистровые, либо простые как 3р. (некоторые - со "сложной" частью длиной <=7 символов); ни одного хорошего контрбрутового пароля я там не видел.<br><br><div class="gmail_quote">
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Кстати, насколько я понял, на Беоне нельзя, украв сессию, ни узнать текущий пароль, ни<br>
сменить его на новый. Там всё грамотно.<br>
</blockquote></div><br>да, нельзя. но перехватить хеш можно, а для инъекции этого достаточно (чтоб написать от чужого имени). чтоб сменить пароль -- мало, хотя дыра под инъекцию может быть и в системе смены пароля.<br>