https://sexoo.me/Алматы’-alert(1)-’#/
Bug bounty reward актуален еще?
Или вот https://sexoo.me/Петропавловск-Камчатский’-alert(1)-’#/
Уже не работает. Даже без исправления.
Что что-то критичного можно уместить в 30 символов.
И как это разумно можно использовать?
У меня мало опыта.
Сохранить вы это не можете.
Только передать “страшной” ссылкой.
Какой профит?
Можно подгрузить абсолютно любой скрипт со стороннего сайта через script=//. Попробовать через него украсть куки, отправить какой-нибудь запрос от имени пользователя и т.д.
Помогите разобраться пожалуйста.
Через какую нотацию подключать будем?
123456789012345678901234567890
document.createElement('script').
Там вроде нельзя так просто пропихнуть сторонний скрипт.
Полиси браузера запрещают
123456789012345678901234567890
<script src="//"></script>
В нашем случае только 30 символов есть.