Ho trovato xss su un campo textarea.
Quando inserisci un carattere in questo campo, emette il carattere in tempo reale, quindi quando inserisco il seguente codice:
<input onclick=alert(document.cookie)>
non ci sono validazioni di inpu...
posta
15.03.2015 - 12:52