Meta.ua

Активная XSS при открытии вложения, а именно злобного SWF-файла.
Работает в Mozilla Firefox.
Файл создавать так:
http://forum.antichat.ru/showthread.php?t=65360
Проверил в Opera 9.52- тоже работает.

goroskop.bigmir.net

Уязвимо поле "Имя" при составлении любого гороскопа, однако статическая страница с XSS-кодом выводится только в "Персональном гороскопе".
Пример:

Gmail.com
Та же самая ситуация с ядовитой флешкой.
Работает в Opera 9.52 и в FF 3 (на второй ветке не проверял).

Rambler.ru
И опять 25. Баги с гороскопами повторяются, на сей раз под скальпелем- Рамблер(движок гороскопов тот же, что и на Бигмире).

"Персональный":
"Китайский 2008":

Ukr.net

Украинская электронная почта №1

При заливке видео не фильтруется параметр "Ник":
Удалили уже...

))

Google.com

Вообщем есть такая замечательная штука как
Гаджеты гугла. Создаем в igoogle гаджет
и прописываем наш код cохраняем
(ссылочку на файл xml копируем )
создаем свой сайт там есть возможность вставить гаджет в страничку
в итоге

http://sites.google.com/site/xcedz0mbie/

прокатывает и в опере последней и в фф

одноклассники.ру

Уязвимость присутствует из-за отсутствия фильтрации в имени создаваемой группы. Достаточно лишь закрыть тег <title>. Однако есть ограничение на количество символов...

В продолжение темы о социальных сетях...
connect.ua

"Мои фото" -> создаем альбом.
Не фильтруются поля "Описание"(работает в списке альбомов) и "Название"(работает при входе в альбом, но тут надо приписать закрытый тег </title>).

"Аудио"- не фильтруются поля "Альбом" и "Исполнитель". Работает в "Моих записях" и на главной странице(!) профиля.

Кто хочет поискать еще- дерзайте! Кто ищет, тот... выпьет обязательно!