блин и документ фильтрует
source:


короче можно так сказать и документ заменяет на непонятные символы или удаляет, а все остальное могу вставить

вот этот скрипт выполняеться

...

только как внутрь пихнуть свой скрипт

а если такое вставить алерт появляется?

source:

нет изображ выходит когда вставляю
source:


алерт выходит, но куда прописать там скрипт не знаю

тогда подставь свой урл в строку
source:


после того как подставишь закодируй строку в бейс64
и подставь между кавычками после atob
получится типа этого

source:


P.S.
евал - выполнить
атоб - декодировать из бейс64

спасибо бро

Всем привет! остались два вопроса всего насчет xss, а так вполне могу использовать..

1 как в wap приложениях типа drugvokrug и т.д можно поискать xss (в общем и sql не помешает) то есть как выдать алерт
2 как обходить фильтр если все между скобками фильтр удаляет, категорически все кроме br и между кавычек бывает символ /

Всем привет, подскажите пожалуйста, перепробовал все что можно уже, методом исключения выяснил, что сервер фильтрует символ ">alert(/XSS/) на выходе '>">alert(/XSS/)

напиши в лс урл и что куда вводил