XSS запросы – их виды

Нет, понятно, что тема XSS в плане тИЦ умерла, но людям зачем-то это еще надо… Парсят.

На знакомый сайтик, где самодельный счетчик стоит и берет рефререр из яваскрипта как document.referrer, присылают интересные переменные вместо этого рефререра:

1
'
"
'
X S
<>
--
2-1 and 1=1
2 and 1=1
' and '1'='2
" and "1"="1
" and "1"="2
[email protected]<xscript>XSS</xscript>.com
[email protected]%3cxscript%3eXSS%3c%2fxscript%3e.com
java:xscript(XSS)
myvalue" myattribute="java:xscript(XSS)"
myvalue myattribute=java:xscript(XSS)
myvalue' myattribute='java:xscript(XSS)'
[email protected]+xscript-XSS+/xscript-.com
><!--
'><!--
"><!--
\n\nPTHeader: PTValue
/boot.ini
../../../../../../../../../boot.ini
/windows/win.ini
../../../../../../../../../windows/win.ini
/filename.php
/filename.php.
/filename.php
filename.php
filename.php.
filename.php
|id|
`id`
;id;

-(где filename – файл скрипта счетчика).
Мне многое незнакомо (особенно проверка на винды, ведь на сервере не винды), но все же интересно.
Что означают \n\nPTHeader: PTValue? И вот это все: [email protected]<xscript>XSS</xscript>.com

Если кто в теме, просветите плз.

XSS запросы – их виды: 2 комментария

  1. [email protected]<xscript>XSS</xscript>.com
    [email protected]%3cxscript%3eXSS%3c%2fxscript%3e.com
    nPTHeader: PTValue

    Это похоже на сканер безопасности от Positive Technologies (http://ptsecurity.ru), сайты на мастерхосте иногда им проверяются на уязвимости. Даже отчет когда-то присылали по выявленным недостаткам.

Комментарии запрещены.