а сорян, удалил)

А можно ли post-based рефлектед ХСС превратить в get-based через GET /foo&_method=POST в Руби он рейлс?

А проверить?)

Я не у компа(

А, ну тогда вроде нет, недавно тестил такое и не припомню такого параметра, но попробовать всегда стоит

В рельсах? Это виртуальный метод же, _method

А, или ты имеешь в виду отправятся ли параметры как POST? Тогда хз)

Ага

Но поидее это будет выглядеть так

POST /path?param=xss HTTP/1.1
Host: example.com

Так что врядли

GET /path?param=xss&_method=POST

Ну я имею в виду, что преобразуется в POST не добавляя query в качестве body

хсс пэйлоад энкодится в ascii , можно ли это как-то обойти?

Это как?

А попробуй отправить что-нибудь не из диапазона ascii, например ₽ (₽ / U+20BD)

void''??globalThis?.alert?.(...[0b1_0_1_0_0_1_1_1_0_0_1,],)

Господа окуневоды . Подскажите плз где здесь или в ином месте -
Windows: C:\ProgramData\Acunetix\shared\general\settings.xml
Linux: /home/acunetix/.acunetix/data/general/settings.xml
пункт который надо изменить дабы по умолчанию *Limit crawling to link and subdir*  был выключен при добавлении targets. https://prnt.sc/t57hof - чекбокс на скрине . руками снимать каждый раз его - боль

 However, you can set the <RestrictToBaseFolder>0</RestrictToBaseFolder> in settings.xml file for this purposes. - вот что мне ответил саппорт окуня . Но увы это не помогло , ни после ребута, ни после перезапуска служб - галочка на месте .. Может она конечно визуально на месте , не проверял .

В 13 версии они вроде выпилили эту фишку из хмл