Позавчера нашел брешь в поисковике сайта. Если написать скрипт проверки <script>alert('Hello XSS')</script>, то фильтр ставит пробелы между sc и ript, однако если прописать все русскими буквами, то автоматическое исправление языка обходит фильтр <ыскшзе>фдуке("Руддщ ЧЫЫ")</ыскшзе>. Осталось внедрить код ворующий куки. Решение: в фильтре поставить условие заменять <> на другие символы при запросе.
Frog Frogov Если написать скрипт проверки <script>alert('Hello XSS')</script>, то фильтр ставит пробелы между sc и ript, однако если прописать все русскими буквами, то автоматическое исправление языка обходит фильтр <ыскшзе>фдуке("Руддщ ЧЫЫ")</ыскшзе>. Осталось внедрить код ворующий куки.
Интересный подход, но скрипт то все равно не срабатывает. Или я не прав?