XSS атакует! Не краткий обзор где и как искать уязвимости

[NetherNN]

"Не сработало… современные браузеры не настолько тупые и такой явный пэйлоад не отработают."

А расскажите подробнее про пример с"<script>alert(document.cookie)</script>" в JuiceShop

Что значит "не тупые"? Тег <script>получается браузеры научились детектить, а другие нет?)

[y4ppieflu]

<script> дописывается на страницу через innerHTML. Согласно спеке он не будет исполнятся, однако event-handler в <img> будет. Трудно сказать, в чем причины такого поведения, но не думаю, что это как-то связано с заботой о безопасности.

Если бы он добавлялся на страницу не динамически во время загрузки, а статически, он бы прекрасно исполнился браузером.

[dunai12]

Ну да, вы правы, это скорее заслуга не разработчиков браузеров, а разработчиков спецификации. Но как я понимаю этот пункт с поведением тега script при добавлении его через innerHTML в спецификации тоже не сразу появился, а только с выпуском HTML5.