отправка ссылки на мейл.ру

Discussion in 'Уязвимости Mail-сервисов' started by SpewFire, 22 Jun 2008.

Thread Status:
Not open for further replies.
  1. SpewFire

    SpewFire Banned

    Joined:
    14 Mar 2007
    Messages:
    50
    Likes Received:
    24
    Reputations:
    0
    При оправке сообщения на мейл.ру
    <a href="http://сайт.ru" target="_blank">http://сайт.ru</a>
    приходит ссылка при нажатие на которую переходит на
    win.mail.ru/cgi-bin/\"http://сайт.ru\" и пишет Данная страница не найдена на нашем сервере. Как составить html код??
     
  2. Grey

    Grey Banned

    Joined:
    10 Jun 2006
    Messages:
    1,047
    Likes Received:
    1,315
    Reputations:
    1,159
    Не сложно заметить что кавычки экранируються, причем могу поспорить ты отправляешь с какой нидь веб формы (для отправки писем в html коде), расположенной либо на кривом хосте, либо на бесплатном, что в свою очередь сказываеться на том что мейджик_квотс=он и в результате этого кавычки экранируються.

    Что бы этого не было:

    1. либо не юзай кавычек:

    Code:
    <a href=http://сайт.ru target=_blank>http://сайт.ru</a>
    2. либо залей скрипт отправки на нормальный хост
    3. либо вбей линк с адресом в переменную в самом скрипте отправки, а не присваивай её через форму
    4. либо отправляй письма руками через телнет - но это уже геморно и не рационально.
     
    #2 Grey, 22 Jun 2008
    Last edited: 22 Jun 2008
    1 person likes this.
  3. SpewFire

    SpewFire Banned

    Joined:
    14 Mar 2007
    Messages:
    50
    Likes Received:
    24
    Reputations:
    0
    Спс...
     
  4. Lucky1954

    Lucky1954 New Member

    Joined:
    27 May 2008
    Messages:
    8
    Likes Received:
    0
    Reputations:
    0
    А есть у когонибудь скрипт для анонимной отправки почты, а то с бесплатной нельзя отправлять имена без "@" иначе он их в кашу превращает, волшебник млин.
     
  5. crackmail

    crackmail Elder - Старейшина

    Joined:
    3 Jun 2008
    Messages:
    106
    Likes Received:
    19
    Reputations:
    10
    Grey , подскажи как избавится от предупреждения на меил.ру что типа вы переходите на другйо сайт , не вводите там ваш логин и пас , при нажатии на ссылку...
     
  6. Grey

    Grey Banned

    Joined:
    10 Jun 2006
    Messages:
    1,047
    Likes Received:
    1,315
    Reputations:
    1,159
    Ну сказать конкретно я не могу, скажу больше в общих чертах. Такое сообщение будет выскакивать при переходе на сторонний ресурс, но не при переходе на ресурс mail.ru. Что это может дать полезного? А то что если найти xss на одном из субдоменов mail.ru, то можно в пиьсме поставить линк на страницу с xss, а xss будет в свою очередь перебрасывать на твой фейковый сайт.

    Наверное ты щас подумаешь, что найти xss очень сложно, но нет к примеру не так давно freddi находил не сколько активных xss на различных субдоменах, но их наверное уже прикрыли:

    https://forum.antichat.ru/showpost.php?p=648599&postcount=161
    https://forum.antichat.ru/showpost.php?p=648715&postcount=162
    https://forum.antichat.ru/showpost.php?p=648720&postcount=163
    https://forum.antichat.ru/showpost.php?p=648868&postcount=164
    https://forum.antichat.ru/showpost.php?p=659512&postcount=169


    Не совсем понял что ты имел ввиду, но вроде ты имел ввиду про информацию от кого отправленно письмо. Если так то, наверное, ты имел ввиду как отправить письмо что бы в поле от кого отображалось что то вроде 'Вася Пупкин', а не '[email protected]'. Для такого отображения в скрипте делай так:

    $from = 'Вася Пупкин <[email protected]>';

    И сам скрипт будет выглядить так:

    PHP:
    <?php
    $to 
    'адрес на который отправляем письмо';
    $from 'Вася Пупкин <[email protected]>';
    $subject 'Тема письма';
    $body '<h1>Текст письма с html-ем</h1>'
    $header "From: ".$from."\r\nContent-type: text/html";
    mail($to$subject$body$header);
    ?>
    Так как в теме пошли вопросы не касающиеся того что было написано в первом посте тему закрываю.
     
Thread Status:
Not open for further replies.