Гуру подскажите, возможно ли заюзать пассивную xss как-то в таком варианте: Есть некая post форма авторизации по ajax, возвращаются данные с xss. Казалось бы - всё прекрасно, отправляй клиента с post-ом на ajax обработчик и радуйся. Но возвращаемые ajax данные - Content-Type: text/xml; не исполняется там js, текстом выводит. Как быть? Всё шляпа? Ничего не возможно придумать?
Привет. Реально. Ранее на ЯД'Е находил подобного рода xss. Удалось забайпасить и сдать по ББ. Пример Payloada(полезной нагрузки): Code: <x:script xmlns:x="http://www.w3.org/1999/xhtml">alert(1337);</x:script> Удачи!
Огроменнийшее человеческое спасибо! Нагрузка работает, остальное дело техники )) Попался мне очень наглый-наглый хам и я ему пообещал, что за свой грязный рот он будет наказан. Как бэ не люблю разбрасываться обещаниями впустую)
