Цитата:

Сообщение от Nick Hander

Ну если комментарии сохраняются на сайте и если после обновления страницы с комментариями каждый раз выскакивает алерт, то это активная xss, в данном случае тебе надо только отправить в комменте скрипт для кражи кук и заманить жертву на эту страницу. Если же алерт выскакивает только единожды после отправки комментария, а после обновления страницы не выскакивает, то это пассивка, тогда надо будет писать эксплуатирующий скрипт автосабмита или что-то в этом роде. По сути жертву тоже придется заманить на страницу, только уже на свою с кодом автосабмита.

p.s. не надо заставлять жертву саму что-то вводить=) Javascript давно уже все сам делает)

Однозначно на сайте пассивка,
Проблема в том, что я не могу ее реализовать,
Если бы она была через поиск, я бы смог (есть пример как)
А через коммент, я понятия не имею
Нужно каким то образом составить ссылку,с этим скриптом + скриптом сниффера,
Как это реализовать, я не знаю

Не могли бы вы подсказать?