Небольшой пример использования уязвимостей на сайте Яндекса.

HOWTO:
1) Отправляем форму.
2) Играемся с GET-параметрами.
3) Находим тот, значение которого пишется в теле страницы.
4) Пробуем инжектировать js
5) ???
6) PROFIT!

Я был обескуражен ответом техподдержки альфабанка, приведенным в посте «Находим SQL инъекцию...», а потому решил посмотреть как обстоят дела на других поддоменах.

Первое что я сделал — это нашел админку на b***.alfabank.ru с помощью того же гугла и незамысловатого «site:alfabank.ru inurl:/admin/»