Цитата:


Нашёл активную XSS на сайте (в форме входа). Как теперь внедрить туда JavaScript-код который дан в сниффере, что бы cookies приходили мне на сниффер?



Ну в общем, у тебя например прошло

code:


Выполнился javascript код, расположенный между тэгами. Это была проверка. Теперь для кражи нужно вставить код, который будет воровать куки. Он представлен в сниффере. Вставляешь и отправляешь на страницу уже "ядовитый код". Хотя не факт, что код будет работать - могут фильтроваться некоторые символы непосредственно в коде, нарушая его работоспособность. Тогда надо будет искать другие способы отправки без использования фильтрованных символов или искать дополнительные способы обхода. Поэтому чтобы хорошо владеть мастерством кросс-сайтового скриптинга, надо знать javascript, иметь свой сниффер, написанный желательно вручную под свои прихоти. И понимать системы фильтрации.

Цитата:


При активной XSS нужно будет жертве давать ссылку или она (XSS) будет в коде страницы до тех пор, пока админ её не спалит?



Да, активная XSS сохраняется на сервере.