Это активные XSS, фильтры не умеют их резать, иначе фильтровался бы любой JS который написан разработчиками. Суть как в том что я и искал те, которые не отфильтруются, писал в самом первом абзаце :) Тот же XSS Auditor просматривает только различные браузерные заголовки + GPC.
Пример:
1. Пасивная XSS, фильтруется Аудитором
index.php?1=<script>alert(123);</script>
<?php
echo $_GET[1];
?>
2. Активная XSS ничем не отличается от обычного js-а, код уже изначально встроен в тело страницы, он не передается ни в каких параметрах, поэтому никак не может быть отфильтрован.
<?php
#где-то тут мы, например из базы, но не GPC (get,post,cookies) параметром получили $a
#и в ней уже <script>alert(123);</script>
...
echo $a;
?>
1. за найденные баги на sms.qiwi.ru мне ничего не дали — сказали «домен НЕ участвует в конкурсе», как так? что тогда в посте?
2. отвечаете скупо, редко, не говорите когда что и как будет, про принятые и непринятые баги тоже молчат, мне с кучи репортов и кучи обращений ответили дай бог 2-3 раза, уже недели две как морозитесь :) вопрос — когда?
честно даже не хочется репортить о более серьезных багах с таким отношением
Пример:
1. Пасивная XSS, фильтруется Аудитором
index.php?1=<script>alert(123);</script>
2. Активная XSS ничем не отличается от обычного js-а, код уже изначально встроен в тело страницы, он не передается ни в каких параметрах, поэтому никак не может быть отфильтрован.
«Взломал Хабр», «постовый script alert» = инвайт на хабр?)) требую себе второй! :D
2. отвечаете скупо, редко, не говорите когда что и как будет, про принятые и непринятые баги тоже молчат, мне с кучи репортов и кучи обращений ответили дай бог 2-3 раза, уже недели две как морозитесь :) вопрос — когда?
честно даже не хочется репортить о более серьезных багах с таким отношением