Привет, ващем, всем, как говорится ... Значит, тут на античате щас валяются 2 статьи, одна про уязвимости веб-фейсов почтовых систем, другая про приколы в чате майл.ру... Значит все уязвимости веб-фейсов давно пофиксены (яваскрипт не внедришь так просто и типа чтобы контакт-мыло на майл.ру сменить, надо пароль подтвердить, т.е. облом опять)... про приколы в чате ваще старье материалы пишут, типа в майл.ру сделать <img src=javascript....etc> - это, извините, давно пофиксено также... Ващем, яваскрипт-внедрение в мыло мне не нужно (в конце концов мона просто ссылку сделать на сайт, которые будет менять мыло, пасс etc что надо там).. а нужно мне, чтобы тут на античате кто-нидь провел исследование заново и показал способы на сервах (mail.ru, nm.ru, mail.com etc) овладевания мылом (ну там как на майл.ру например контакт-мыло меняешь (тогда пароля подтверждения не требовали) и высылаешь на него пасс)... вот и все... Спасибо всем ,кто покажет действующие уязвимости хотя бы на одном сервере (желательно mail.ru) ..
Внедрить скрипт можно многими способами, но максимум, чего можно добиться - это получить кукисы и прочитать нужное письмо при условии, что юзер поставил флажок Запоминать пароль ... Читать Такой простоты я не встрчеал ...
Че Гевара: Если ты говоришь, что внедрить скрипт на фейс майл.ру можно многими способами, то не молчи и предложи хотя бы один способа, доказательств нет - твои слова пока для меня фуфло... А где это флажок ставить. я что-то не вижу (если в настройках, то где именно?)... И поставит юзер, флажок, я возьму запишу в файл (пхп-скриптом) document.cookie и при условии что юзер все еще в майл.ру бродит, смогу письма читать? тогда вопрос, а смогу я менять у него настройки (пароль уес ) ??? Ну что ж, не хотите проводить, не надо...
Так же можно сказать что ТЫ фуфло! Потому что кто то лучше тебя что то делает. Но тут же такого никто не говорит, надо уважать друг друга. Уважай других и уважаем будешь. В нашей суровой жизни добиться уважения очень и очень тяжело, а вот потерять уважение - запросто, потом его восстановить ещё тяжелее. Вообщем правила почитай.
HTML: <image src=javascript:alert(xss)> HTML: <image src=javascript	:alert(xss)> HTML: <image src=javascript
:alert(xss)> HTML: <image src=javascript
:alert(xss)> И другие способы ....
Че Геваре: Спасибо, но 2 уязвимости не идут давно, а про 2 другие (которые ты сказал) я не знал.. они пошли... теперь беру свои слова насчет фуфла обратно всем... Ващем античат.ру хороший серв и всегда мне нравился, но в форуме я разочаровался.. походил по темам, тут никакой жизни, все тока ржут над чужими вопросами и все... да еще на меня наехали не знаю за что. спасибо хоть, что Че Гевара помог с ява-внедрением.. но мне это не надо, как я уже говорил... Удачи всем
Товарищи, мы тут не бабки базарные, так что не будем ругаться из-за ерунды ... Maxmen, тут ты совершенно не прав ... Никто не под кого не подсерает. Я так же могу заступиться за любого участника форума, если вижу что на него незаслуженно наезжают. Но так как я могу удалять и редактировать ваши сообщения, то необходимсоти разводить "чисто канкретный базар" я не вижу ... Админ или не админ значение не имеет ... И вообще спор возник из-за ерунды и не какого продолжения он больше иметь не будет ... Насчет вопроса из-за которого был поднят этот топик: На данный момент web-интерфейс mail.ru не имеет никаких существеных недостатков, т.к. на все изменения профиля стоит защита паролем; секретный ответ вопрос не хранится в открытом виде, как в некоторых других системах ... Еще раз повторюсь, что максимум чего можно достичь скриптовой инжекцией - похищения печенья ...
Майл ру пофиксил ошибку изменения примака мыла без подтверждения пароля, но фильтры на джаваскрипты они не правили, поэтому они до сих пор работают. К тому же способов внедрения джавы так много, что все наврено и в самом майкрософте не знают. Кроме пофикса этой ошибки, других изменений на майл ру и на других серваках вроде бы не было... Поэтому все должно работать.
Покажи пример внедрения ! <IMG name=img width=1 height=1 src="javascript:document.img.src='<file.jpg>?' <=== так поёдёт ? , если да то как зашифровать то .........чтоб сервер не пропалил
У меня не открывается вложенный файл xss.txt : Code: Майор, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами: Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чье-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа? Вы пытаетесь написать сообщение, но ваш аккаунт отключен администрацией или ожидает активации. поясни.....
