ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Социальная сеть мёртвых.

pomnipro.ru

Уязвимо поле ввода комментариев. (только для залогинённых)

И в своём профиле все поля.

Ничего не фильтруется.

http://pomnipro.ru/memorypage/show/834/

За 2 месяца так и не додумались пофиксить, хотя о баге знают.

За Русского и Эстонского пилота. Часть 2 (Coming Soon)

Site: http://www.joblist.tj/

1. Добавляем Вакансию: http://www.joblist.tj/addvacancy.php

2. Утверждаем Вакансию: http://www.joblist.tj/moderation/

3. Profit!

Уязвимые строки:

Sploit:

Site: http://www.tajtube.tj

Поле: Сайт

Sploit:

Kolibry CMS

Target: Kolibry CMS v.0.3.1

Info: Persistent XSS подвержены поля: “Город”, “Другая информация”, “Подпись”, в разделе “Личные данные”.

Info: Persistent XSS в поле “Тема сообщения”, раздела “Личные сообщения”.

dom2.ru

Без комментариев. Все знают, что это

Яндекс тИЦ (CY) 600

Google PageRank (PR) 6

Любого пользователя можно "поздравить", отправив ему в ЛС открытку (даже без авторизации). Создаются открытки и добавляются в общий каталог также без авторизации.

Уязвимо название открытки, которое вводится, после нажатия "сохранить" в редакторе.

Пример:

dom2.ru/community/users/123/send-gift/83730643

123 - ID пользователя, которому отправляется сообщение.

83730643 - ID открытки.

Эмм молодой_человек/леди... Вы знаете отличия активных ХСС от пассивных ?? Знаете ? А зачем тогда постите ЭТО ?

З.Ы. Прошу модеров принять адекватные действия.

spooo.ru

http://spooo.ru/users/registration/

Уязвимы поля "Имя:", "Фамилия:"

">alert(/XSS/)

ТИЦ: 90 Pr: 2

nvhost.ru - хостинг

http://nvhost.ru/domains.php

Уязвимо поле проверки домена.

">alert(/XSS/)

ТИЦ: 150 Pr: 4

Абсолютно не вижу смысла. Большинству народу не нужны пассивки, если они не почтовиках. А тому кому нужны - сам найдёт на нужном домене.

SIXSS

ой завтыкал... это ж скуля