Скажите, возможно ли провести XSS атаку на сайте, если сайт через яваскрипт генерирует, что то типа временной сессии, без которой посылает нах запрос ?
Вот пример. Сайт РСН:
http://rusnovosti.ru/
Если в поиске вписать <script>alert()</script> то высвечивается алерт.
Так вот, собрался я было делать боевой HTML код для фрейма, но тут обломилось.
Я юзаю такую вещь для проверки:
Код:
<body onload="p.submit()">
<form action="http://rusnovosti.ru/search/" method="post" id="p">
<input type=hidden name="search" value="<script>alert()</script>">
(Поскольку данные передаются через POST), но желаемый alert не выскакивает.
Когда же я копнул запрос, то обнаружил в нем кучу всякого рода значений, и зашифрованную в base64 какую то инфу чуть не на 10 килобайт (которую так и не удалось расшифровать).
Ну вот собственно вопрос, в этом случае возможна ли полноценная XSS атака на этот сайт? Или XSS тут использовать бесполезно?