ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Active XSS

http://www.kupikupon.ru/contact

Яндекс тИЦ - 350

Пр - 3

Уязвимы все поля.

Сайт http://www.cskabasket.com/

Постим коммент

Провайдер Казахстана

http://cabinet.megaline.kz/billing-dealer/restore-password.do

Вводим в поле "Шаг 1":

Ну и результат:



P.S. Еще года два назад заметил эту XSS, до сих пор живa

Еще один скидочный сервис от меня)))

Active XSS:

http://bigbuzzy.ru/

Уязвимость в Личном кабинете. В поле Имя и Фамилия( в самом кабинете фильтруются символы при выводе...а в акциях нет.

Яндекс тИЦ (CY) 220

Alexa Rank 11,757 -9,013

Google PageRank (PR) 4

Active XSS

http://www.directadvert.ru/user/

Яндекс тИЦ (CY) 190

Alexa Rank 1,697 -286

Google PageRank (PR) 5

Хосты 542,037

http://www.liveinternet.ru/stat/directadvert.ru/

Уязвимы все поля при создании рекламной компании.

Active XSS

биржа трафика- http://www.alltraf.com/

(в определенных кругах - популярна и очень странно что тиц 0)

При создании рекламной компании уязвимо поле с урлом.



а вот и куки админке.

Active XSS

Сайт продажи электронных билетов - достаточно поппулярный

e-traffic.ru



PR = 0

Тиц = 30

Админка тут - /admin/

Уязвимые поля:

Имя = alert('a4at')

Отчество = alert('a4at')

html5demos.com

PR = 6

ТиЦ = 40

Множественные уязвимости:

http://html5demos.com/postmessage

http://html5demos.com/postmessage2

http://html5demos.com/storage

​

Вставляем в поля

и радуемся!



Вот ещё:

http://html5demos.com/drag-anything​Копируем нашу ксс и переносим в поле для драг-н-дропа.

procool.ru/brainfuck/ - интерпритатор брейнфака PR-2

Выбираем "Из брейнфака" и вставляем:



и получаем XSS самым извращеннымспособом!