Есть скрипт загрузки аватарок.
Загружаю.
В пост запросе :
Content: image/png.
Загружается всё.
И так создаю файл ava.png
Открываю блокнотом.
Вписываю .
Заливаю, подменяю на image/png. (До этого просто text/html)
Открываю в браузере, есть текст В исходнике тоже.
Но невыполняется.
что делать?

Может Content-type?

Включи сниффер, посмотри ответ скрипта:
text/plain - обычный текст.
text/html - HTML.

Т.е. теги не будут интерпретироваться, если браузер получит ответ text/plain.
Чтобы они интерпретировались, надо ответ text/html.

Ну да, просто я не запомнил
Примерно написал.
Сейчас проверю.

В IE7, IE6 будет

__________________
<? Raz0r.name — блог о web-безопасности

Я зашёл на сайт http://www.mymanual.ru/ и там в поиск дал скрипт xss: "><script>alert('xss')</script>
Мой вопрос: Как превратить это в форму для адресной строки, тоесть превратить этот xss в ссылку, или вы превратите и дайте мне ссылку а я сам уже пойму.

Я зашёл на ссылку http://www.mymanual.ru/search.html?q="><script>alert('xss')</script>&srcht=manuals
Но никакой окошки xss не вышло. ??????????????

Я так понял: Я сохраняю его как html и отпраляю админу, но тогда куки не пойдут через сайт http://www.mymanual.ru/
Как я понял нужно чтобы взять куки с сайта http://www.mymanual.ru/, нужно поставить код здесь: http://www.mymanual.ru/код
Верно?

Ааа..... всё понятно, вот сделал и залил на хост, вот ссылке к xss для сайта http://www.mymanual.ru/ : http://cehennem.hut1.ru/okasj9as8989v89cvxczxuiojxuxuiovjizxc.html

Супер, узнал как правильно можно сохранить отделно в файле .html и залит на хост xss.
Спасибо. +1