нашла на одном из сайтов уязвимость, но непонимаю еще, активная, или пассивная хсс, если я вытягиваю скриптом js куки, инфу по сессии..
Сам сайт не нужен, просто пытаюсь разобраться... :)
ps. инфу читала, но...
В разделе Уязвимости вряд ли кто ответит...

куда ты вставляешь код?
он отображается в строке адреса?
если да, то это пассивка

пассивная - код передаёшь в урле юзверу!
активная - код уже находиться в теле страницы!

ну для начала так- если ты ввела скрипт например в поиск и у тебя вылетел алерт- то пассивку нашла (т е от жертвы требуеться выполнить какое либо действие чтоб распрощаться с "печеньем"), ну а если тебе например удалось в каменты вбацать скрипт- и у каждого кто заходит на эту страницу- вылетает алерт - нашла активку, т е от жертв (а их буит много) не требуеться никаких действий чтоб сказать кукисам-"бай-бай"


Вот те пример активки: http://stolbik.kiev.ua/b5119978.html кто то этот сайт уже выкладывал здесь

пассивка((

алерт получаю, и пока все.
в тело страницы не попадает, но...посмотрим.
всем спасибо, буду искать активную...