Слепая простота

[nezdhanov]

В этой статье мы рассмотрим только хранимые XSS — именно они подходят для «пробития» целей.

Сугубо субъективно!
Исходя из моей практики, Отражённые (Непостоянные) атаки совмести с СИ (Социальной инженерией) более эффективны!

[LukaSafonov]

Любая атака, принесшая результат эффективна. Эта статья именно о blind XSS. Что касается отраженных XSS — тут тоже много интересных векторов, например отрисовка формы фишинга.

[domix32]

Uri payload

А оно нынче где-то еще работает? Системы которые все еще работают исключительно через IE в расчёт не берём. Современные браузеры уже довольно давно забанили возможность исполнять скрипты из строки браузера/javascript протоколу.

[LukaSafonov]

2019 год:

посещаемость сайта > 3.000.000 ежемесячно

/login?redirect=%250ajavascript:alert(1);  

крупный ритейл:

/no-*****-******?q=%27%22%20autofocus=true%20onfocus=%22alert(document.domain) > 

крупный онлайн магазин:

*********_center/********/******.php?SECTION_ID=******}});};top[%22eval%22](top[%22atob%22](%27************%27));function%20load*******()%20{$.ajax({%20type:%20%27get%27,%20url:%20%27/*******_center/*****/****.php%27,test:{// 

[Psychosynthesis]

С линками было бы убедительнее.

[sidristij]

LukaSafonov можно доверять

[Psychosynthesis]

Да я как бы под сомнение-то не ставил, только это же достаточно важная и интересная информация, согласитесь.