Siccome quelli della Gameforge non sembrano volersi tutelare da questa XSS su ogame chiudendomi sistematicamente i thread sul forum, eccomi qua a scrivere un breve articolo per dimostrarne la pericolosità.

Come potete vedere da questo link:

XSS Ogame: http://uni15.ogame.it/game/reg/errorpage.php?errorcode=2&arg1=125&arg2=<script>alert(document.cookie);</script>

La pagina http://uniXX.ogame.it/game/reg/errorpage.php?errorcode=2&arg1=XXX&arg2=XSS non controlla in alcun modo i parametri passati in ingresso (arg1 e arg2). Possiamo quindi scrivere nella pagina qualsiasi cosa, creando così qualsiasi tipo di attacco: fishing (come quello del mio esempio), cookies grabber (basta inviare document.cookies a una pagina php remota che li registra...) o un fake login (con form identico all'originale ma che in realtà manda su un altra pagina che ruba utente e password e poi redirige su ogame)...

Il link è così complicato (con tutti quei numeri), perchè è necessario generare il nuovo source della pagina senza apici o doppie virgolette, che verrebbero "escapate" dal php (con la "\" davanti). Quei numeri altro non sono che il codice decimale di ogni carattere (trovate convertitori online gratuiti); ci pensa il javascript poi e riconvertirli.

Spero vi torni utile, ciao!