Что делать если тег <script> фильтруется - вот как ни крути всегда фильтруется. Но а например такой код <img src=x onerror=alert(1)> или <body oninput=alert(1)><input autofocus> или <b onmouseover=alert(document.cookie)>click me!</b> и куча других работают нормально.. каким образом получить куки ? или чего еще можно получить ? и еще если есть активная xss можно при помощи неё сделать sql inject ??
в таком случае ты уверен что xss вообще присутствует?вообще там много чего крутится вокруг xss и обхода фильтров,тут надо спецов спрашивать а насчёт sql инжекта с помощью xss никогда не слыхал,хотя и не удивлюсь что и такое уже делают
