ANTICHAT — форум по информационной безопасности, OSINT и технологиям

1. Имеем пассивную, как было уже всеми отмечено, потому как в action она никогда и нигде не будет активной. Активная в isindex возможна только в атрибуте src (и родственных), но на mail.ru она не сработает, поскольку против таких вариантов там двойная защита: параметр src должен отвечать строгим требованиям. Если не отвечает, он автоматически замещается на мейловскую картинку-пиксель.

Конечно, это не просто пассивная, а пассивная в теле сообщения. Иx преимущества в том, что они не блокируются как потенциальные xss-атаки NoScript`ом для FF, и к ним можно прикрутить javascript-граббер почты.

2. Фильтр перевел табуляцию из десятичной в шестнадцатеричную из-за ошибки в определении начала параметра при использовании dec без явного разделителя (;). Начало параметра ему нужно, чтобы вставить "x". А "x" он вставляет всегда там, где находит сочетание "script", даже если это "blablascript". Ты эту ошибку обнаружил, тебе респекты.

3. Далее. Эти так называемые "новые" xss здесь ни при чем. Они только все портят, делая пассивную рабочей только в IE. Обычный тег form расширяет область работоспособности и на FF, и на Opera.