Гуру подскажите, возможно ли заюзать пассивную xss как-то в таком варианте:

Есть некая post форма авторизации по ajax, возвращаются данные с xss. Казалось бы - всё прекрасно, отправляй клиента с post-ом на ajax обработчик и радуйся. Но возвращаемые ajax данные - Content-Type: text/xml; не исполняется там js, текстом выводит.

Как быть? Всё шляпа? Ничего не возможно придумать?

Привет. Реально.

Ранее на ЯД'Е находил подобного рода xss.

Удалось забайпасить и сдать по ББ.

Пример Payloada(полезной нагрузки):


Code:
alert(1337);

Удачи!

на рдоте видел некоторые вариации на тему

https://rdot.org/forum/showthread.php?t=2427

oliday said:
↑ (https://antichat.live/posts/4347037/)
Привет. Реально.
...
Удачи!


Огроменнийшее человеческое спасибо! Нагрузка работает, остальное дело техники ))

Попался мне очень наглый-наглый хам и я ему пообещал, что за свой грязный рот он будет наказан. Как бэ не люблю разбрасываться обещаниями впустую)

Baskin-Robbins said:
↑ (https://antichat.live/posts/4347674/)
на рдоте видел некоторые вариации на тему
https://rdot.org/forum/showthread.php?t=2427


Да, там тоже есть это решение. Спасибо!