Bueno para empezar el año os quería preparar una serie de XSS en distintas webs de partídos políticos, pero por la escasez de tiempo no he podido profundizar en este tema, así que os dejo estos dos:

PSOE

El primer XSS se encuentra en la parte de Suscripciones y aunque en realidad se centra en uno, hay muchos.



http://www.psoe.es/generic/subscription.do?action=Password&type=newsletters&href=[XSS]

Otra cosa que encontré “escarbando” en la web del psoe es el panel administrador de tal:
https://www.psoe.es/generic/login_private.jsp

Y por último en el código fuente del panel administrador podremos ver un comentario de un botón entrar que pone “entrar-rojo”

ESPAÑA 2000

En la web de España 2000 queda un XSS muy muy viejo, que aunque ha cambiado la web, se puede acceder igualmente:



http://www.esp2000.org/v3/foto_grande.php?recordID=2862&cuerpo_img=[XSS]

Como curiosidad en la web de España 2000, si creamos un error en la web con por ejemplo el famoso “> aparecerá de título:  “Welcome to the Frontpage”

http://esp2000.org/index.php?page=shop.brow%22%3Ese&category_id=5&vmcchk=1&option=com_virtuemart&Itemid=1

Saludos y hasta la próxima!

Fuente: http://seguridad.dimitrix.es/index.php/2010/01/02/xss-en-psoe-y-en-espana-2000/

Sitio web: lostambos.com.pe
Descubridor: Ari-Slash y el-pollo
URL del aviso: http://h4ckvi505.wordpress.com/2010/01/21/vulnerabilidad-en-lostambos-com-pe/
Fecha de descubrimiento: 17 de enero de 2010
Fecha de notificación: 17 de enero de 2010
Fecha de publicación: 17 de enero de 2010
Arreglado: Si 18 de Enero de 2010 (eliminaron el arhcivo download.php xD)
Vulnerabilidad: LFI


saludos

Sitio web: http://www.ongei.gob.pe <-- Oficina nacional de gobierno electronico e informatica
Descubridor: janito24
URL del aviso: http://h4x0red.blogspot.com/2010/01/xss-en-ongeigobpe.html
Fecha de descubrimiento: 18 de enero 2010
Fecha de notificación: 18 de enero 2010
Fecha de publicación: 18 de enero 2010
Arreglado: No
Información adicional: XSS simple en el buscador.


Nota:

---

La pifia debe estar en todas las paginas .gob.pe al parecer las hizo la misma persona. Otro error http://www.ongei.gob.pe/busquedas/ongei_resultado.asp?txt_parrafo_busq=asdfasdfkaskdjf%F1lakjsd%F1lfkj%F1alsdjkf%F1laksjdf%F1lkjal%F1sldkfj%F1alskjdf%F1laksj xD no tiene desactivado los errores asi que debe ser facil encontrar un sqli o similar :S

---

Sitio web: http://www.ceoe.es/ceoe/search.search.action
                          http://www.isee.es/isee3/search.search.action
                          http://www.ceifor.es/ceifor/search.search.action
Descubridor:  LeGNa29A
URL del aviso: http://legna29a.blogspot.com/2010/01/vulnerabilidades.html
Fecha de descubrimiento: 19/01/10
Fecha de notificación: 19/01/10
Fecha de publicación: 20/01/10
Arreglado:
Información adicional: XSS en los buscadores, los sites están relacionados.

Sitio web: http://m.tuenti.com
Descubridor: Dimitrix
Fuente: http://seguridad.dimitrix.es/index.php/2010/02/18/xss-parcial-en-tuenti-movil/
Fecha de descubrimiento: 14/2/10
Fecha de notificación: 14/2/10
Fecha de publicación: 17/2/10
Arreglado: No

Información adicional: XSS EN la variable "email" al enviar las invitaciones: