:D Ты забыл про forum.auto.mail.ru
а вапще если немного посмотреть на домена мейла..то можно найти ещё парочку форумов :D

DimOnOID, еще только на forum.horo.mail.ru, форумы игр и софта построенны на других движках и таких уязвимостей не имеют.

Интернет-магазин бытовой техники и электроники
http://www.003.ru/

При регистрации уязвимы поля Фамилия, Имя и Отчество
"<script><alert('xss by megahertz')</script>

инет магазин оружия
http://www.kortik.ru/

уязвимы комментарии

пример

[radikal.ru]


[заводим акк, загружаем картинку, а затем редактируем,
в поле Надпись на фото
вводим ядовитый код ]

">'></title><SCRIPT>alert(/хренкоми/)</SCRIPT>
-----------------------------

www.tnd.ru


регимся, затем редактируем свои данные

ну и соответственно внедряем код в следующие поля

http://i007.radikal.ru/0804/e3/5e981d1dd520.jpg

Еще здесь такой же форум и как следствие тут тоже активная xss в заголовке темы на форуме.

http://forum.deti.mail.ru/

[NoNaMe] nnm.ru

Идем в http://doci.nnm.ru/newdoc и создаем новый док.
Уязвимо поле "Название дока".

во первых ограничение на 30 символов, во-вторых название локи <h1>doc</h1> отобразилось как есть :(

http://www.origitea.ru/default.aspx?404;http://www.origitea.ru:80/guest

Визде пишем <script>alert()</script>

http://memori.ru
регаемся
в поле имя или фамилия пишем
<script>alert()</script>
смотрим профиль

www.33hochu.ru

Нашел вначале пассивную

Зарегался думаю может еще что есть интересненькое?

ГЫ, конечно есть, проходим несложную регистрацию, и в своем профайле создаем фотоальбом а в названии пишем наш код

например --></SCRIPT>">'></title><SCRIPT>alert(4)</SCRIPT>=&{</title><script>alert(5)</script>


можно так "><script>alert(document.cookie)</script>

еще можно раскрыть пути и пощупать на предмет (мусколь стопудова стоит) инжекции ;)

http://www.33hochu.ru/antixy

вот что получилось ))
все, работает и в опере и в лисе :)

www.pcweek.ru

уязвимы комментарии

пример http://www.pcweek.ru/themes/detail.php?ID=109663&THEME_ID=0&SPHERE_ID=?add-comment

хытитипи ввв.stroyazbuka.com/web/registration.php

так вот. регестрируемся в каталоге. в поле регион можно внедрить свой код ))

так же есть и пассивная. (говорю тока о xss ))) есть и другие темы ;) )

http://www.themobstergame.com/

/

Уязвима Регистрация
Ни одно поле не фильтруется

"><script>('XSS')</script>

хсс в модуле, после http://www.asapmachineco.com/index.php?module=ath&banner=> можно прописать любую команду... ну юзайте короче )))

ИдиВЖопу.ру

Уязвимы поля "текст под картинкой" и "над картинкой"
Пример:

(с) Лигендо...

Заводи ак создаем вакансию. :p

http://www.jobportal.com.ua/vacancy/499117.html

(портфолио разработчика http://www.globalweb.kiev.ua/portfolio/)

Kanalia.ru - сайт обо мне!
в каментах галлереи не фильтруеццо имя отправителя
http://kanalia.ru/gallery/

Сиськи!
http://hahaha.com.ua/file/54.html

_http://checkproxy.nnm.netserv.name/
admin
123456

_http://queen-love.com/proxy5/
admin
123456

Юзайте и не просите больше никого о халявных прокси.

Chronicle.com - Деньги

http://www.all-biz.info/ru/

при регистрации уязвимы пактически все поля(для активных XSS), вчастности поле "о предриятии", зарегиться до конца неудалось- за регу требют 35400 руб
ну а чтоб вам небыло скушно вот вам хоть и пассивная но тоже XSS)))
http://www.all-biz.info/ru/enterprises/?btn_search=1&findentry=%3Cscript%3Ealert%28%27%D0 %B1%D0%B0%D0%BC%D1%81%27%29%3C%2Fscript%3E&cs=&ac_ category=&btn_search=%D0%98%D1%81%D0%BA%D0%B0%D1%8 2%D1%8C

http://o-sport.ru/guestbook/index.php

0Й... .Вводите в гостевой
<script>alert()</script>
и всё

svadbann.ru

Гостевая книга
http://www.svadbann.ru/q_answer.html

Активны все три поля, сообщение, имя, мыло

http://classifieds.invictory.org
уязвимы обьявления

Сайт Российских Сутенёров

http://www.suter.ru/blacklist.html

POST-форма, поле "Дополнительно:
(краткое описание происшетшего)"

karaul.ru/
Xss найдена в добавление комментария.
Вот пример:
В поле имя вводите стандартное:
И получаете желаемое!Хочу сказать,что караул.ру является довольно посещаемым ресурсом.

www.skisport.ru
Оффициальный сайт журанала лыжный спорт.
Пример скрипта:
У этого ресурса бажная функция поиска по сайту.
Как обычно пишем:И творим добро =)

fidep.ru
http://www.idiot.fidep.ru все просто.

А зря может кто нить научился бы xss различать ;)
vkadre.ru
собственно тыкая создать добавить ролик вбиваем имя
+
cобственно канает любой тег главное title закрыть ;)

вотс уже рабочий линк
http://vkadre.ru/users/1926899

Кто хорошо подумает может на самом контакте активку найти ;)

И снова я

http://www.internetpro.ru/boards/index.php

добавим пару объяв о продаже мопедов? )))))))))

http://majordomo.ru/constructor/
Заходим на тестовый акк, удаляется через 20 минут )))

http://iloveru.net/ трут быстро =)

вообшем то сайт ру подкастинга ;)
rpod.ru

собсвенно уязвимо поле коменнентов т,е заходим выбириаем группу тему и оставляем коммент
ну и собственно создаем на домене blabla.ru index.html
c нужным кодом )
рабочий пример с фреймом на гугль.ru )
http://siski-piski-show.rpod.ru/82.html#c110876

price.ua
завдоми ак,
поле фио.
усё. =)

Тока что нашел одну ХСС у себя на форуме на mybb.ru, наверно баян, но все же.
В профиле есть вкладка "остальное", в админке можно разрешить пользователям заполнять ее.

Пишем <script>alert()</script> и вуаля. А дальше ищите дурака админа, который разрешил эти поля.
Проблема в длинне. Максимум на серве 999 символов, а там, кто как поставит.

ловите позитффф

http://blog.meta.ua блоги ;)

как вариант, создаем свое сообщество

http://contact.meta.ua


вообщем есть над чем поразмыслить =\

Нашел уязвимость на www.playground.ru
Жмем регистрация и вставляем <script>alert()</script>
Уязвимые поля:
Конфигурация компьютера
Ваш сайт
О себе

Вот моя рега http://users.playground.ru/448520/

Журнал Total Football

http://www.totalfootball.ru

Добавляем комментарий к новости, уязвимы все поля :p

Также присутствует пассивка в поиске, и если поискать sql-inj ;)