http://search.icq.com/search/results.php?q=%5Cx3C%5Cx2Fscript%5Cx3E%5Cx3Cscript %5Cx3Ealert%5Cx28document.domain%5Cx29%5Cx3C%5Cx2F script%5Cx3E&ch_id=start&search_mode=web

Куки с основного сайта.

Т.н. reflected XSS на этом search.icq.com уже вычищают-вычищают много лет, и все никак, как видно. Их и постили на сайтах, где публикуют XSS, и я находил какие-то давным-давно. Помню, в 2012-м после редизайна страница профайла просто кишела stored XSS. Их там было порядка 15 штук на разных страницах. Потом пофиксили, но криворуко, поэтому был второй дубль, правда эксплуатация была чуть более замудренной. Но было весело.

Stored XSS в ICQ лайвчатах. Пример:


https://icq.com/chat/AqGIzmxQTeANPGrCCw

Уязвимы поля "Имя" и "Описание".


">alert(document.cookie)
">alert("Stored XSS")

Лайвчат можно создать через приложение для iOS или Android.