Прикольно так, но не ново.

Распиши уж тогда все что можна. Как сделать iframe незаметно и т.д.

я пожалуй воздержусь от критики по поводу новизны....

единственная просьба- удалите пожалуйста следующую фразу

не хотелось бы чтоб кто то ачат упрекнул в некомпетентности юзеров ....

Ну а так-же XXS исправте на XSS

По поводу POST запросов- внимательно посмотри видео /thread220316.html

Свежак...Ты просто гениален.

Я в 2006 году так хекал мыльники mail.ru. Находил XSS на mail.ru, регал свой сайт на народе и вставлял туда сниффер. Потом кидал ссылочку жертвам.

Но это я, думаю этот способ использовали и еще раньше.... Так что, боюсь тебя расстраивать, ты опоздал.

Я тоже знал этот способ.На мой фейк сайте был такой IFrame

Чем отличается CSRF от первого поста?

Лично я всегда думал, что cross-site request forgery (межсайтовая подделка запросов) это как раз выполнение произвольного кода на стороне клиентов, путем внедрения этого самого кода на стороннем веб-ресурсе, что собственно ты и сделал. или я ошибался?

Другого способа использования пассивных XSS, кроме описанного в этой теме, я и не представлял.

Никогда даже мысли не возникало, что кто-то может впаривать админу прямую ссылку с XSS

Это не троллинг, вполне серьезно.

upd:

XSS - это внедрение своего кода, CSRF - выполнение запросов без внедрения кода.