DeveloperRu

bearman:
DeveloperRu, инфоблоки используюстя как виджеты? то есть в любом месте старницы можно его вызвать? типа "а вот и наш товар" - тут карточка товара

смысл XSS заключается в том, чтобы в какое-нибудь поле ввода или переменную вставить такое значение, которое отобразится как отработанный HTML-код. То есть, надо найти такое место, где можно использовать HTML-код. Например, если в гостевой книге позволено использовать HTML-код, то 99%, что можно использовать вставки JavaScript. Как тест такого приема, часто используется код: <script>alert('aaa')</script>
Этот JavaScript-код выдает MessageBox с надписью aaa. Ничего больше он не делает. Но если отработал он, то в это место можно вставить и более серьезный скрипт, передающий cookies на другой хост, где они и будут сохраняться. Для начала, надо найти место и условия, при которых можно будет на страничке запустить свой произвольный JavaScript-код. Такого места на всем сайте может и не быть. В таком случае, XSS-атака не применима.

bearman:
тут и дурак сможет))))))))))

bearman:
на самом деле можно, но не всегда. а рассказывать я конечно эту фишку не стану ))) никому :)

bearman:
я с ними не работал, н опо названию мне кажется это типа виджеты в вп, отношусь как к "необходимая мера" увы :)

ну веб он такой :)

Инфоблок — это такая сущность, которая объединяет элементы с определенным набором свойств. Часть свойств, такие как название элемента, раздел, даты активности и т.п., присутствует у элементов всех инфоблоков. К этим свойствам проектировщик может добавить еще и свои свойства, но они уже будут рассматриваться в контексте каждого конкретного инфоблока.

KosoyRoman:
На это и есть XSS

bearman:
DeveloperRu, да можно даже браузер не хранить, его проще слить через хсс чем ип подменить))

нет конечно не берите в голову