Показать сообщение отдельно
Старый 11.07.2010, 00:28   #8
Dr.TRO
 
Аватар для Dr.TRO
 
Регистрация: 06.07.2010
Сообщений: 90
Репутация: 21
По умолчанию

Специально проверил создал файл на лохосте с названием "><script>alert(31337);<" (</script> не выйдет так как в название слешы запрещены) и как результат:

Цитата:
Referer: http://localhost/%22%3E%3Cscript%3Ealert(31337);%3C%22
То что я и говорил, а использовать SQL Inj как XSS это в случае если очень надо и ничего сделать неможешь больше, сначала называлось сее чудо SiXSS если не ошибаюс, а потом milw0rm'ы и аналоги с сотнями школот посоздавали этот же метод снова же но с другим названием.

Товарищ молодец что нашел, что работал, просто толку 0 от нее для нас нету.
__________________
http://fc01.deviantart.net/fs48/f/20...eyecixramd.png
http://img156.imageshack.us/img156/2...userbartd7.png
Цитата:
root@rdot.org ~ # perl -MAcme::BadExample
Dr.TRO вне форума   Ответить с цитированием