Я нашёл XSS уязвимость срабатывает при вводе скрипта и его отправки в саппорт .

А как XSS на линку повесить тогда?Что бы когда жертва переходила по линке xss срабатывала и куки приходили на сниффер .

Кстати кому надо могу в личку xss слить она от ксго сайта + дота .

+ Нашёл ещё xss в поиске . Точнее в поиске игроков .

При вводе ">alert() появляется пустое окно,в поиске игроков за место моего скрипта,появляется \ . + меняется ссылка,туда этот скрипт вбился . Это пассив или актив ? .

И как чёрт подери повесить xss на сниффер,у меня снифф онлайн hackerlab .

Скорее всего XSS твоя в POST параметре) Тоже вещь опасная.. Где то видил тут тему создавали про POST XSS, поищи на форуме.

Это вы геев так будете классифицировать.

А XSS может быть:

1) Stored (persistent)

2) Reflected

3) DOM-based

4) Self-xss

У вас скорее всего тип Reflected.

Reflected - перевод можно ?

а как узнать в пост она параметре или нет ?,

Чисто для инфы . Сайт продажа/покупка вещей кс го + ещё один сайт для доты(все также токо для доты),переход по сайтам через кнопочку . Авторизация на сайт через стим .

Покупка через стим трейд .

Защита HTTPS .

Отражённые (Непостоянные)

Атака, основанная на отражённой уязвимости, на сегодняшний день является самой распространенной XSS-атакой.Эти уязвимости появляются, когда данные, предоставленные веб-клиентом, чаще всего в параметрах HTTP-запроса или в форме HTML, исполняются непосредственно серверными скриптами для синтаксического анализа и отображения страницы результатов для этого клиента, без надлежащей обработки. Отражённая XSS-атака срабатывает, когда пользователь переходит по специально подготовленной ссылке.

Пример:

http://example.com/search.php?q=DoSomething();

Если сайт не экранирует угловые скобки, преобразуя их в «<» и «>», получим скрипт на странице результатов поиска.

Отражённые атаки, как правило, рассылаются по электронной почте или размещаются на Web-странице. URL приманки не вызывает подозрения, указывая на надёжный сайт, но содержит вектор XSS. Если доверенный сайт уязвим к вектору XSS, то переход по ссылке может привести к тому, что браузер жертвы начнет выполнять встроенный скрипт.

Для начала почитай что такое POST.

Мне нужен сниффер,в котором я могу вставить свою волшебную xss-ссылочку . И ещё,я как понял он ворует кукисы,а в кукисах хэш и если его расшифровать можно получить пароль ? .

Ну ведь скрипт в линке пошёл после "?" знака - смотрите сами ******.net/players/?st=">alert()

Я ж тебе сказал, поройся в гугле и почитай про пост. Если твоя XSS в посте, ссылочку ты уже не подставишь. Например, данные с полей для входа в админку идут пост параметром. Получается что-то типа того:

POST /admin.php

...

HTTP-HEADERS

...

login=alert(1)&password=pass.

Обычный переход по ссылке это GET. Что бы раскрутить твою XSS'ку в посте, нужно заманить жертву на твой сайт, а оттуда можно уже будет отправить POST запрос на уязвимый сайт.