Twoster, ну и зачем?

хм... действительно интересный вопрос.... давай я тебе не буду писать умные вещи, пообщаемся с тобой на одном уровне.

Вот к примеру у тебя есть дом, в нем замок, есть ключ. Нужно ли ключ брать с собой, или можно оставлять в замке? Если ты ответишь, что брать с собой/прятать/etc, то повторю твой вопрос " ну и зачем?"

Twoster, некорректный ответ, покажи мне что можно сделать через эту мега уязвимость?
http://total.far.ru/dirka.phtml?gg=']);?%3E

Ну ты понел.
хватит ПИСАТЬ, попробуйте сначала хоть что-то ЧИТАТЬ !!! (c) Jokester.

http://total.far.ru/dirka.phtml?gg=%3Cscript%3Ealert('XSS');%3C/script%3E НИчего не даст я же написал, эта переменная никуда не записывается и нигде не используется, вывод ты увидишь только у себя на экране, ну возможно у тебя повысится ЧСВ это максимум

Пойдём по другому, зачем нужна XSS?

в Книге " Методы атак веб приложений" Товарищ Кузя, доходчиво расписал эту уязвимость придав ей класс критической.. хз...
Сам лично пару раз уводил куки...считаю што в арсенале держать все жэ надо...

Ну возможно у вас стоит и приписка к IP и повторная авторизация в админку или что-то еще.
было дело давно как-то полазив на сайте одного из хостеров обнаружил пассивную xss, там же был опенсорс форум, проводив админа форума на xss получил его, куки, но в админку не зайти изза привязки к IP. Зная сорцы форума я составил xss, чтобы админ добавил нового админа. Опять проводив админа на скрипт, я вошел в админку, в которой можно было добавлять файлы на сайт.
Я к тому, что XSS будет всегда актуальной багой. И не обращать на нее внимание сверх невежества.

Даю наводку, КСС не всегда юзается для угона кукисов. =)

XSRF не в счёт :)