Многие тестеры, наверное, понимают меня. Открываешь сайт, например, чтобы послушать музыку и по привычке начинаешь тестировать, находишь дырки. Тут хотел поздравить знакомую с Новым Годом, и так же по привычке нашёл xss вконтакте. Обычное закрытие тега и алерт не пройдет, был немного модифицированный вектор, о котором уже упомянал Raz0r. Ну что сказать, это меня умиляет.
XSS vkontakte.ru
Чем опасны подобные XSS ? они ведь обрабатываются на стороне клиента (Javascript).
Отправить куки злоумышленнику. При правильном подходе к XSS)
«>alert(«1»)
Оригинально