Хранимые XSS

Discussion in 'Уязвимости' started by +toxa+, 18 Mar 2007.

  1. Root-access

    Root-access Elder - Старейшина

    Joined:
    18 Jun 2008
    Messages:
    194
    Likes Received:
    195
    Reputations:
    91
    Ладно, блин, убью я в паблик эту XSS:

    WebFile.Ru: при заливке файла в поле описания пишем код XSS.

    Пример: http://webfile.ru/placed?id=4029293
     
    2 people like this.
  2. hellorin

    hellorin New Member

    Joined:
    15 Jan 2008
    Messages:
    22
    Likes Received:
    1
    Reputations:
    0
    http://smallbusiness.dp.ua/contacts/feedback

    во всех полях xss кроме email
     
  3. Carbon1

    Carbon1 New Member

    Joined:
    8 Feb 2009
    Messages:
    17
    Likes Received:
    0
    Reputations:
    0
    FILES.WYW.RY: При заливке файла в поле комментарии, а так-же при оставлении комvентария о файле
    Пример:
    Оставляем комментарий на странице http://files.wyw.ru/wyw_file?id=4061626 с содержимым <img src="http://media-task.ru/s/s.gif">

    И смотрим сниффер http://media-task.ru/s
     
    #343 Carbon1, 6 Nov 2009
    Last edited: 6 Nov 2009
  4. Mr.Br0wn

    Mr.Br0wn Banned

    Joined:
    26 Oct 2009
    Messages:
    41
    Likes Received:
    12
    Reputations:
    2
    Нашел я, решил выкинуть в паблик)))

    Ресурс:

    Code:
    https://files.[B]webmoney.ru[/B]/

    Изменяем имя папки на:

    Code:
    ;"><script>alert()</script>
     
    1 person likes this.
  5. R_mak

    R_mak New Member

    Joined:
    30 Oct 2009
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    http://www.daler.ru
    В коментах, в поле для ника.
    Пример: http://www.daler.ru/open/games/motorstorm/18597_5.html#c
     
    #345 R_mak, 24 Nov 2009
    Last edited: 24 Nov 2009
  6. Ruslan1817

    Ruslan1817 Active Member

    Joined:
    17 Jan 2009
    Messages:
    23
    Likes Received:
    256
    Reputations:
    146
    http://torg.mail.ru/used/220783/?prev=1 открываем и.... =)

    если не сразу открылась страница , то пару раз нажмите ентер )
     
    #346 Ruslan1817, 2 Dec 2009
    Last edited: 4 Dec 2009
    2 people like this.
  7. Leone_510

    Leone_510 Banned

    Joined:
    5 Jan 2008
    Messages:
    25
    Likes Received:
    5
    Reputations:
    0
    cyberarena.tv
    Регаем акк, заходим в него загружаем конфиг с таким содержанием:
    Code:
    <script>alert()</script>
    пример: _http://cyberarena.tv/profile.php?user=31337&task=getconfig
     
    1 person likes this.
  8. Ruslan1817

    Ruslan1817 Active Member

    Joined:
    17 Jan 2009
    Messages:
    23
    Likes Received:
    256
    Reputations:
    146
    http://roses.tj/---->далее закладка " Guestbook "
    уязвимое поле :
    name :
    email :
    тест.сообщение

    так же уязвимы комменты у фото!
     
  9. Ruslan1817

    Ruslan1817 Active Member

    Joined:
    17 Jan 2009
    Messages:
    23
    Likes Received:
    256
    Reputations:
    146
    http://torg.mail.ru/forum/113/?fid=13&tid=27455
    теперь с чувством выполненого долга иду спать )
     
    3 people like this.
  10. Ruslan1817

    Ruslan1817 Active Member

    Joined:
    17 Jan 2009
    Messages:
    23
    Likes Received:
    256
    Reputations:
    146
    http://torg.mail.ru/forum/687/?fid=106&tid=27551
    проснулся и продолжил ))
     
  11. Keltos

    Keltos Banned

    Joined:
    8 Jul 2009
    Messages:
    1,596
    Likes Received:
    921
    Reputations:
    520
    PHP:
    http://foto.meta.ua
    http://audio.meta.ua
    http://video.meta.ua

    Пример:
    http://foto.meta.ua/imgview.php?fid=2082370
    Активная
    При создании комментария
     
  12. Ruslan1817

    Ruslan1817 Active Member

    Joined:
    17 Jan 2009
    Messages:
    23
    Likes Received:
    256
    Reputations:
    146
    http://otvet.mail.ru/question/33499985/opros/

    при создании вопроса

    прощай любимая :(
     
    2 people like this.
  13. winlogon.exe

    winlogon.exe Active Member

    Joined:
    5 Jun 2009
    Messages:
    33
    Likes Received:
    129
    Reputations:
    13
    http://groza.ru/articles/394
     
    2 people like this.
  14. lolec69

    lolec69 Banned

    Joined:
    1 Apr 2009
    Messages:
    0
    Likes Received:
    3
    Reputations:
    0
    http://www.freehostsfinder.com/
    в коментариях к любому хостингу, например
    http://www.freehostsfinder.com/host-review/hosting_review.php?HostID=452
    но на главной тоже работает, там снизу коменты последние выводятся
    --
    там пофиксили чего то, хз. фильтр какойто поставили
     
    #354 lolec69, 9 Jan 2010
    Last edited: 11 Jan 2010
  15. *uNkN0Wn*

    *uNkN0Wn* Member

    Joined:
    25 Mar 2009
    Messages:
    179
    Likes Received:
    92
    Reputations:
    11
    http://www.ctatc.ru/registration.php
    Уязвимые поля Имя и Фамилия. XSS Выходит после активации аккаунта по e-mail'y.
    +++
    http://www.ctatc.ru/index.htm
    Уязвимое поле Поисковая фраза
    +++
    www.snap.com
    Поле Search
    Code:
    http://www.snap.com/classicsearch.php?pid=5d884d39449fd05ac20ea4827433f22f&ip=178.93.198.166&query=%3Cscript%3Ealert%28%2F%D0%BE%D0%BD%D1%82%D0%B5%D0%B4%D0%B0%D1%87%2F%29%3C%2Fscript%3E&submit_index.x=10&submit_index.y=16
     
    #355 *uNkN0Wn*, 13 Feb 2010
    Last edited: 13 Feb 2010
    1 person likes this.
  16. winlogon.exe

    winlogon.exe Active Member

    Joined:
    5 Jun 2009
    Messages:
    33
    Likes Received:
    129
    Reputations:
    13
    Активка в данных юзера
    http://buhgalter-info.ru/user/info/0012dceb3c910d5f0df52aeb60679535/

    Не знаю точно в каком поле т.к. Искал активку с телефона + xss ввел сразу в все поля

    p.s. сегодня посомтрел, активка в стране
     
    #356 winlogon.exe, 6 Mar 2010
    Last edited: 7 Mar 2010
    4 people like this.
  17. total90

    total90 Elder - Старейшина

    Joined:
    30 Sep 2009
    Messages:
    90
    Likes Received:
    85
    Reputations:
    12
    Уязвимое поле: Откуда:
     
  18. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,254
    Likes Received:
    1,147
    Reputations:
    886
    http://mankutianmolorak.com/main.php?page=poems&lang=rus
     
    _________________________
  19. total90

    total90 Elder - Старейшина

    Joined:
    30 Sep 2009
    Messages:
    90
    Likes Received:
    85
    Reputations:
    12
    Code:
    http://b2blogger.com/pressroom/register/
    Уязвимые поля: Логин
    +
    пассивная в поиске


    Яндекс тИЦ (CY)=850
    Google PageRank (PR)=5
     
    #359 total90, 30 Mar 2010
    Last edited: 30 Mar 2010
    1 person likes this.
  20. Red_EYEs

    Red_EYEs Member

    Joined:
    7 Aug 2009
    Messages:
    32
    Likes Received:
    12
    Reputations:
    11
    http://acm.mipt.ru/judge/ - МФТИ уязвимо полное имя + несложно найти пассивку
     
Loading...
Similar Threads - Хранимые
  1. 4upakabr0
    Replies:
    3
    Views:
    1,927