Хранимые XSS

Discussion in 'Уязвимости' started by +toxa+, 18 Mar 2007.

  1. iddqd

    iddqd Banned

    Joined:
    19 Dec 2007
    Messages:
    637
    Likes Received:
    519
    Reputations:
    19
    A.UA
    В письме уязвимо поле "Тема".
     
    2 people like this.
  2. gromoza

    gromoza Member

    Joined:
    21 Dec 2008
    Messages:
    7
    Likes Received:
    6
    Reputations:
    0
    Xss на http://jetswap.com/

    PHP:
    http://go.jetswap.com/support
    Уязвимое поле тема.
    Минус только один в течении примерно 10 часов служба поддержки обрабатывает ваш запрос и удаляет его.
    З.Ы. У админов и службы поддержки скрипт не обрабатывается.
     
    1 person likes this.
  3. mailbrush

    mailbrush Well-Known Member

    Joined:
    24 Jun 2008
    Messages:
    1,997
    Likes Received:
    996
    Reputations:
    155
    Code:
    http://autoportal.od.ua/?a=forum&p=1
    Уязвивмы все поля.
     
    1 person likes this.
  4. gromoza

    gromoza Member

    Joined:
    21 Dec 2008
    Messages:
    7
    Likes Received:
    6
    Reputations:
    0
    PHP:
    demotivation.ru
    Уязвимо поле коментария 
    <IMG SRC="javascript:alert('XSS');">
    http://demotivation.ru/0ixq1u1biut9pic.html
    Пример
     
  5. L I G A

    L I G A Banned

    Joined:
    27 Jul 2008
    Messages:
    482
    Likes Received:
    380
    Reputations:
    49
    http://voiska.ru
    PHP:
    уязвимое поле :название новости
    http
    ://voiska.ru/index.php?ind=news&op=news_show_category&idc=2
     
  6. L I G A

    L I G A Banned

    Joined:
    27 Jul 2008
    Messages:
    482
    Likes Received:
    380
    Reputations:
    49
    www.tiensmed.ru
    Code:
    уязвимое: название новости
    http://www.tiensmed.ru/news/upcoming/
    
     
  7. L I G A

    L I G A Banned

    Joined:
    27 Jul 2008
    Messages:
    482
    Likes Received:
    380
    Reputations:
    49
    http://www.chef.com.ua
    Code:
    уязвимое поле:коментарии
    http://www.chef.com.ua/articles/588.html#comments
    
     
    1 person likes this.
  8. ^YaHoo^

    ^YaHoo^ Banned

    Joined:
    2 Jan 2009
    Messages:
    22
    Likes Received:
    26
    Reputations:
    0
    http://www.mobime.ru/
    уязвимое поле коментарии
     
    1 person likes this.
  9. Evil_Grey

    Evil_Grey Member

    Joined:
    22 Nov 2006
    Messages:
    10
    Likes Received:
    6
    Reputations:
    5
    http://sputnik.sg/rus/price/sg_tr.html

    провайдер спутникового иннэта.
    уязвимые поля:

    Имя
    mail
    Comment
     
  10. L I G A

    L I G A Banned

    Joined:
    27 Jul 2008
    Messages:
    482
    Likes Received:
    380
    Reputations:
    49
    http://www.addtop.ru
    Code:
    http://www.addtop.ru/kom.php?id=32
    уязвимое поле коментарии
     
    3 people like this.
  11. L I G A

    L I G A Banned

    Joined:
    27 Jul 2008
    Messages:
    482
    Likes Received:
    380
    Reputations:
    49
    www.3dtop.ru
    уязвимое поле - коментарии
    пример :

    Code:
    http://www.3dtop.ru/kom.php?id=23
     
    1 person likes this.
  12. wildshaman

    wildshaman Elder - Старейшина

    Joined:
    16 Apr 2008
    Messages:
    478
    Likes Received:
    483
    Reputations:
    99
    http://www.domashnii.ru/blogs/
    Уязвимо поле логин и ник при регистрации, затем постим комменты, например:
    http://www.domashnii.ru/blogs/posts/view/72/
     
    1 person likes this.
  13. L I G A

    L I G A Banned

    Joined:
    27 Jul 2008
    Messages:
    482
    Likes Received:
    380
    Reputations:
    49
    totalfootball.ru
    Уязвимое поле "коментраии"
    пример:

    Code:
    http://totalfootball.ru/day.php?id=231
     
  14. 2pick

    2pick Elder - Старейшина

    Joined:
    17 Mar 2007
    Messages:
    119
    Likes Received:
    38
    Reputations:
    2
    http://dom2.ru
    1. В редактировании пользователя в полях Фамилия, Имя, Город
    2. При регистрации ника на странице инфо пользователя отображается в <title>
    3. При отправке сообщений пользователям (при открытии письма) в поле тема
     
  15. eLWAux

    eLWAux Elder - Старейшина

    Joined:
    15 Jun 2008
    Messages:
    860
    Likes Received:
    616
    Reputations:
    211
    http://filesurf.ru/
    файлообменник

    заливаем файл filename.html с содержимым:
    <script>alert(/xss/);</script>
     
  16. JOHNik

    JOHNik Member

    Joined:
    21 Apr 2009
    Messages:
    51
    Likes Received:
    14
    Reputations:
    0
    http://indarnb.ru/
    XSS в профиле
    Уязвимы поля "Фамилия". "Имя" при регистрации.
    Пример:
     
  17. Calcutta

    Calcutta Elder - Старейшина

    Joined:
    6 Aug 2007
    Messages:
    342
    Likes Received:
    243
    Reputations:
    36
    магазин http://terabite.vn.ua
    уязвимые поля Улица, Индекс, Страна, Телефон, Телефон 2, Факс, E-Mail при регистрации. так же имеются другие баги.
     
    2 people like this.
  18. петрович

    Joined:
    25 Apr 2009
    Messages:
    2
    Likes Received:
    2
    Reputations:
    0
    http://i.ua
    Активный XSS в теле письма:
    Просто до безобразия, keep it priv8 ;)
     
    1 person likes this.
  19. Inotsee

    Inotsee New Member

    Joined:
    24 Jun 2009
    Messages:
    13
    Likes Received:
    2
    Reputations:
    0
    там же во вкладке фото создаем альбом с названием: <script>alert("XSS")</script>. Жаль на маил.ру таких не осталось))
     
  20. ZARO

    ZARO Elder - Старейшина

    Joined:
    17 Apr 2009
    Messages:
    327
    Likes Received:
    129
    Reputations:
    54
    http://www.for.kg/ru/public_reporter/134/ . В коментарии вставляем "/><script>alert(/xss/)</script>

    и получаем XSS