Активные Xss
 

Сайт с хак-софтом, там и мой трой лежит))
samouchka.net - когда коммент добавляешь впиши.
<img src=http://samouchka.net/engine/data/emoticons/sad.gif onload=XSS]

www.jjurnal.ru

Довольно популярный жж.
Постим сообщение от анонимного пользователя.
Уязвимо поле "Имя:"
"><script>alert()</script>

Работает в опере и ие.

email.ru

может и было..ибо XSS самая тупая))
..
отправляем письмо ..естестн в html....

или

serials.softkiller.net
В теме любого кряка пишем камент с хсс

proplay.ru
 

proplay.ru

Идём в раздел "Команды":
--http://www.proplay.ru/team/
Там создаём новую команду.
Уязвимыми являются поля:
-Игры
-IRC канал
-Домашняя страница

Test:
--http://www.proplay.ru/team/744/

sysadmin.mail.ru

Заходи на sysadmin.mail.ru.....
Сморим *Сервисы Сисадмина* там лезим в *Моя регистрационная анкета*
в поле Крупный город: Выбираем любой город))
далее в поле Свой город/район: строчим и жмём Сохранить изменения...
после переходим в Whois ..находим наш город...если в списке ников есть наш ник.....значит куки уже на снифе))ибо ненадо даже давать ссылку на свой профиль...просто на город где ваш логин)) :)

www.qiq.ru
После регистрации, в профиле изменяем уязвимые поля, а именно:
1)Место жительства
2)О себе
А этих местах пишем
Пример

ДОМ 3 ХЭК =))))))

dom3mir.ru

Регистрируемся с любыми данными......
Далее идем изменять свою анкету...
В уязвимые поля: Район, Метро,Город пишем такой код..ну там уж как придумаете
Далее идете в поиск...ищите себя понику и вот xss =)

http://www.ohizba.ru/index.php?type=page&id=13
уязвимы все поля в гостевой книге
фуфло, но баг..
//updat3:
уязвимость в поле "name" в комментах ;)
извините, редактирование не пашет.. если я что-то нарушил, соедините плз посты :)

запахало)

splashblog.com

Блоггер фоток. Заливаем новую фотку. Уязвимо поле "Caption:"

Работает в ие и опере.

http://rock-rus.com.ru/users.php

в регистрации пишем мыло

icq.com

Заходим на форумы или в группы, создаем голосование. Уязвимы поля "Answer..."
Получилось голосование и теперь, когда кто-либо будет голосовать за пункт с алертом - то будут выскакивать все алерты (дапустим вы поставили алерты на все ансверы)))

Работает в ие и опере.

meta.ua

Идем в блог, создаем комментарий
и при ответе на этот коментарий вылезает алерт.

Работает в ие и опере.

comby.ru


Везде где можно оставить комментарий:
вылезет алерт.

Работает в ие и опере.

http://planeta.solo.by/- геймерский сайт провайдера.

В личку написать:

<img src=fuck onerror=alert(\'xss\')

tForum <= b0.915
Форум малораспространённый, но всё же.

Активная XSS в поле "Message".

Вставляем в поле "Message":

В кукисах сессия, логин.

Отморозки
http://www.otmorozki.org/images/login_d.gif
=============
Otmorozki.org
=============
Заходим в любую новость пишем комментарий...
Уязвимое поле "тема" ..вот там и пишем наш кодик..
Теперь ваша уязвимость ( xss ) будет гулять везде))Даже на главной странице

жесть,зачод

Warcraft
http://games.mipt.ru/wc3/images/miptlogo.png
=============
Games.mipt.ru/wc3/
=============

Уязвимые поля при регистрации:
"Полное имя"
"О пользователе"
"Дом.страница"

Вставляем туда код И вот пример.....просмотр моего профиля
Isis

buka.ru
в камментах к новостям
' любезно заменяются на "

warlog.info

Заходим в настройки сайта. Уязвимо поле "Название"

Теперь при просмотре статистики сайта на главной странице вылезает алерт.

Downloads.ru
http://downloads.ru/pics/www.gif
Выбираем любой файл....пишем к нему комментарий...
Все поля уязвимые т.е. мыло, ник и сообщение ...
Пример

ukrtelecom.ua
http://lib.kost.dn.ukrtelecom.ua/guestbook.php

liveinternet.ru

В дневниках.
1) Пишем личное сообщение. Уязвимо поле "Заголовок:"

Если пользователь ответит на это сообщение, то велезет алерт.

2) Добавляем новость в дневник. Уязвимо поле "Добавление новости:"

2 »Atom1c«

пост №16
http://forum.antichat.ru/showpost.ph...5&postcount=16

zip-2002,
В форме сообщения вводим: <script>alert();</script>

Сайт: http://aktiv.kak-ya.ru/
Путь: http://aktiv.kak-ya.ru/by/ole4ka/2006/04/26/3434/comments
Уязвимое поле: Заголовок
Сайт: http://forum.allsoch.ru/
Путь: http://forum.allsoch.ru/showthread.php3?s=11&threadid=17076
Уязвимое поле: Ваш ответ.

http://www.booka.ru/

Вставить в поле Поиск

http://www.oplachu.ru/tov226182.html

Вставить в поле Ваш комментарий

http://catalog.kgbi.ru/
http://catalog.designatelie.ru

Вставить в поле Поиска

Gals, это же пассивная xss.

Сайт: http://www.photo-cult.com/
Путь: http://www.photo-cult.com/showpic.php?rate&id=187916
Уязвимое поле: Коментар

http://www.bilandima.ru бррр..противно...

Дневники>Новая Запись> Адрес фотографии >
да ещё там в куках..пасс в открытом виде)

rambler.ru

В «Планете» -> «Профиль» -> «Контакты»
Уязвимо поле “ICQ 2” и название аватарки.
Куки не стыришь, тк ограничение стоит 22 символа(((

http://kemclub.ru/


При регистрации (http://kemclub.ru/reg.php), уязвимо поле Ф.И.О -
,

потом заходим Находим себя, получаем алерт.

http://ismart.ee/
Интернет магазин по продаже книг. Искал где купить "Красный Лондон", нашел XSS : )

При регистарации ()
уязвимы поля:
1. E-mail; - вписываем 2. Ваше имя. - вписаваем
Далее можно изменить приветствие на , тоже работает.

Все заказы просматриваются вручную кстати ;)

И напоследок пассивная XSS, хотя это и не так интересно :

Xss на сайте ЦСКА
 

Сайт http://www.cskabasket.com/


Постим коммент

http://www.yandex.ru/cgi-bin/test-robots?host=morpheg.narod.ru
Хек или не хек?

forum.xakep.ru

Запостил сюда тк не понял какой у них тип форума.
На форуме прицепляем файл тхт с содержанием:
"><script>alert()</script>
и открываем его в опере, именно в опере не через блокнот!!! но млин касяк в том что у меня срабатывает через раз))) В куках много полезной информации.
на ие не тестил, он у меня глючит).

на ачате слева ссылка $$$ для web-мастеров
http://tak.ru/editing.php
в любом поле нет фильтрации : "><script>alert()</script>

http://dyn.gismeteo.ru/cgi-bin/showmap.exe?base=commonmaps&file=BALTIC.GIF&lang=r us&title=%3Cscript%3Ealert('Here%20was%202pick');% 3C/script%3E

это пасивная