Помощь по xss

Всем привет!
Помогите найти решение..
Вот нашел на сайте xss/
Вот такого типа: site.ru/?chat=1'><h1>Test</h1><'
Выводит надпись в жирном шрифте.
Можно ли выкачать базу таким способом? или просмотреть каталог сайта?
Так же вставил: ?chat=<script>alert('xss');</script> кавычки экранировало и выдало на сайте: '>

 

нет, это не возможно

 

а какие у меня есть варианты по этому поводу?

 

Я прописал: ?chat=1'></a><img src="http://site.ru/images/1.png"> вывело мою картинку..

 

От балты прописал кусок php файла и выдало форму выгрузки файлов но не грузит файлы..
Может можно как-то вывести данные от базы есть я знаю как она подключена?
Вот так примерно:
$host='localhost';
$db_user_name='1111';
$db_password='111111';
$db_name='d111111';
Пробовал: ".$db_password." но выводит как текст..

 

Хоть какие то варианты что-то сделать есть?

 

кинь сайт

 

зачем? если дашь конструктивную информацию о вариантах что можно сделать тогда дам.

 

XSS выполняется на компьютере пользователя, а не на сервере. Поэтому никакие данные, находящие на сервере, получить через XSS нельзя.

 

С помощью xss можно украсть куки не более

 

Не совсем так Но X_script дал исчерпывающий ответ, XSS выполняется со стороны пользователя, а не сервера.

 

Я ответил на это "Можно ли выкачать базу таким способом? или просмотреть каталог сайта?"

 

Тогда без обид, извини Просто мною данная фраза воспринялась именно как утверждение в целом по xss, а не в контексте. Еще раз, сорри

 

Ну я вот через адресную строку вставляю код (к примеру выгрузки файлов и мне выводит на сайте мое поле но файл не грузи) это больше похоже на php иньекцию..
Что-то можно в таком случаи сделать?

 

Форма загрузки отображается только у тебя в браузере. Если отправить файл с помощь этой формы, то ничего не произойдет, сайт не будет знать что делать с полученным файлом.