http://angry-piggy.ru/script.rar перезалийте у кого есть хочу посмотреть

а что оно делает, можно просто картинку вставить с ссылкой на пхп скрипт который всьо что хочиш сделает. расширение .svg на него кликать надо, автоматически оно не сработает

но у svg есть огромный плюс оно не палится браузерами как скрытый фрэйм в отличии от png.

http://blog.sucuri.net/2014/02/new-iframe-injections-leverage-png-image-metadata.html

При том java поддерживается внутри SVG подключение внешнего фаила мое решение, вполне можно и без него, так-же при работе с png меняется отображаемая картинка, SVG в свою очередь сохраняет изображение.

В ситуации когда есть доступ к серверу, можно как и в случае с png добавлять

В jquery.js например и выполнение будет без нажатия.

что именно палится ? у меня такую ​​картинку ни один антивир не здетектив с фреймом. Браузер, пс, антивирусы палят непосредственно домен который грузиться в фрейме от этого никак скрыться, так как фрейм инжектиться в код страницы, а то каким способ вы используете для инжект фрейма в страницу помогает лишь скрыть это от администраторов. Для того чтобы не банили пс фильтровать ботов надо. Для того чтобы не банили антивири хз, такое скорее всего невозможно рано или поздно палится домен на котором связка...

Вы далеко ушли, речи о "ботах" и "антивирях" не стояло, я привел мини обзор альтернативных версий развития событи похожих на описанную уязвимость ТС.

http://angry-piggy.ru/script.rar перезалийте у кого есть хочу посмотреть

e17 ну что я скажу ваш пос заслуживает внимания, подобной реализации не видел

перезалил kidsec.ru/zaz.zip