forum.xakep.ru

Запостил сюда тк не понял какой у них тип форума.
На форуме прицепляем файл тхт с содержанием:
"><script>alert()</script>
и открываем его в опере, именно в опере не через блокнот!!! но млин касяк в том что у меня срабатывает через раз))) В куках много полезной информации.
на ие не тестил, он у меня глючит).

http://www.booka.ru/

Вставить в поле Поиск

http://www.oplachu.ru/tov226182.html

Вставить в поле Ваш комментарий

http://catalog.kgbi.ru/
http://catalog.designatelie.ru

Вставить в поле Поиска

или в томже полеи от меня парочка багов )

Вы можете отличить пассивную от активной?

Нет. В чом разница ?

Активная XSS (сохраненная) – уязвимость, возникающая вследствие недостаточной фильтрации данных, переданных одним пользователем, сохраненных в системе и доступных для вывода другим пользователям системы.

Т.е. в общем актив это когда уязвимость сохраняется в системе и выдается всем пользователем зашедшим на страницу с уязвимым параметром.

Пассивная XSS (переданная) – уязвимость, возникающая вследствие недостаточной фильтрации данных, переданных системе в параметрах HTTP-запроса с последующим их выводом в HTML-страницу.

Пассив в общем когда подсовывается ссылка пользователю, содержащая скрипт переданный в уязвимом параметре. Сработает один раз когда пользователь перейдет по специально сформированной ссылке, если же он перейдет на сайт по обычной ссылке, то ничего не произойдет.

Gals, это же пассивная xss.

Сайт: http://www.photo-cult.com/
Путь: http://www.photo-cult.com/showpic.php?rate&id=187916
Уязвимое поле: Коментар

Сайт http://www.cskabasket.com/


Постим коммент

http://www.yandex.ru/cgi-bin/test-robots?host=morpheg.narod.ru
Хек или не хек?