biara, попробуй в юникод перевести или в hex.. может поможет) лично я с такой же проблеммой столкнулся..

biara, нет, это не xss, всё в точности до наоборот)) Это замена символов на соответствующие им текстовые коды в html, чтобы они не выполнялись, а просто отображались на странице.

M@ZAX@KEP, это возможно обойти? допустим сменой кодировки?

Norton710, не сменой кодировки, а другими хитрыми манипуляциями... читай:
раз
два
ЗЫ честно скажу, что пока сам не во многом там разобрался))

Пролистал все скрипты на обоих сайтах.. в каждом скрипте есть либо ><" ...

Цитата:


что самый часто встречаемый фильтр - перекодировка символов ><" ...



Это простая функция в php:

code:


Добавлено через 1 минуту
Кстати, тоже щас задумался над этим, сижу листаю _http://www.google.com/search?q=обход+htmlspecialchars&ie=utf-8&oe=utf-8 ))

Добавлено через 7 минут
Не обнадёжило...((

M@ZAX@KEP, прикольно.. тоесть XSS по всему сайту отпадает? Т.к. на каждой странице будет вбит скрипт на изменение <>" и обойти его никак нельзя =/

Но раз XSS жива, значит народ как-то обходит этот фильтр =) Имхо, надо искать скрипт, без использования " и <>.. я пару раз такие встречал, только внимание не обращал)

p.s. На хаккере нашел статью по XSS вакцинам
Вот что там пишут на эту тему:

Скрытый текст (вы должны быть авторизованы и иметь 1 сообщений):


У вас нет прав чтобы видеть скрытый текст, который находится здесь



ссылка - http://www.xakep.ru/magazine/xs/075/050/1.asp

Я так понимаю что речь идёт про условия (если то-то, то делать то-то), но как это помогает обойти фильтр? О.о Лично я недопонял =/

Прошу в дальнейшем с вопросами, не касающимися непосредственно темы XSS, обращаться в другие разделы или соответствующие вашим вопросам темы.
Если вы не знаете, что такое хостинг, нечего вам вообще про xss читать.

8serega8, нет, нужно установить права доступа на хостинге к этому файлу равными 777. У себя на компе ты этого не найдёшь, поймёшь когда зальёшь файл на хост.