Приступим.

Дело было вечером, Делать было нечего.

Я рыскал по всему рунету в надежде найти 1 интересную вещь. (Модель ноутбука)

Как вдруг я наткнулся на ozon.ru

Уже позже я узнал, что это 1 из крупных магазинов в рунете.

Мне стало очень интересно что это за магазин?

И от своего "природного" интереса я ввёл в строку поиска:

alert(1)

Я увидел, что сервер оставил только alert(1)

Это уже значило что фильтровал он самую малость.

( в данном случае он смог отфильтровать только )

Ну что же.

Я вспомнил, что читал на хабре про приём с Unicode.

Приступим.

Откопав таблицу знаков Unicode, я перекодировал payload.

получилось вот это:

u0061lert("hack")

Далее я проверил фильтруются ли следующие символы:

',|,\,) и другие.

И получил на выходе:

'|\u0061lert("hack")|'

Ну что же, проверим?



ну, так вот.

немного обрадовался. Пошёл писать в поддержку озона.

увы, но не все ценят "безопасность".



Это лишь пример.

кому не так трудно, накиньте на чай.