Всем привет только что писал троя, а обнаружил ХСС-ку на крупном почтовике!!! Объясняю принцип действия подручными средствами, т.к не хочу полить, наверное уже сейчас мега червя. 1) Регим мыло допустим на tut.by, я сделал такое [email protected] 2) Настроим перенаправление почты на другой адрес, т.е [email protected] 3) Берём клиента какого-нить почтовика, я брал The Bat! 4) Пишем новое письмо на адрес [email protected] к которому присоединяем аттач с именем XXXXXXXX.html c таким содержимым: <script>alert('XSS found OneMiay');</script> 5) Отправляем. 6) Заходим на [email protected] и жмём Загрузить - видим Или если текст файла: <script>alert(document.cookie);</script> Пускай ХСС-ка пассивная, но никто не мешает заменить имя файла и адрес отправителя. (RFC SMTP) Автор не несёт никакой ответственности за предоставленную информацию, так как она изложена ради вашей же безопасности. Ответственность за неправомерное применения данной информации ложиться только на вас и карается УК РФ ст. 272
OneMiay, молодец, дружок... Я, конечно, думаю, что эта уязвимость уже была найдена и эксплотируется, но всё равно - тебе похвала.
Смотри на скрины! Куки видишь? Теоретически туда и фрейм можно вставить с каким-нить сплойтом или редирект на Ротатор. Вобщем вариантов уйма. Главная что ссесия через куки перехватывается.
Inluck))) Чувак ты про силу xss незнаешь?))) payk.org(spaiz.info) тоже думали что xss это не атака)), однако ...
Не обязательно замарачиваться с перенаправлениями, работает и так если отправить хтмл во вложении и целевой пользователь нажмет загрузить.
Да вложения со скриптами всегда прокатывают, тк почтовые фильтры не проверяют html на опасные теги (естественно кроме известных сигнатур скриптовых эксплойтов), это уже проблема юзера откроет вложение или нет. Надо понимать что в данном случае ошибка гуглмаил в том, что он открывает вложения в том же домене что и веб интерфейс почты, следовательно мы можем получить куки, а соответственно и сессию целевого пользователя. В отличии скажем от яндекса который открывает вложения в др. домене и никакие куки вам получить таким способом не удастся...
Честно говоря я тестил на яндексе и там поверь мне в другом домене все открывается и куки ты не достанешь! На маилру не тестил, так что про домен возможно прогнал. А про маил ты сам написал, что палит любые скрипты, так что полюбому не обойдешь фильтрацию просто так, возможно домен при открытии тот же. Но куки ты все равно не достанешь скрипты режутся. Вывод: все более менее известные, хоть как-то решали и решили данную проблему, на гмаил забили, возможно пока... Так, что успокойся и перестань флудить в теме!!!
Тут дело всё в том что файл не обязательно обзывать как *.html можно как rar/zip/exe/jpg и т.д, и если он представлен в скрипте или хтмл-коде он чего-то исполняется, в то время как другие почтовики продпочитают сохранить его... Вобщем в этом и заключается бага. ЗЫ: Ведущий специалист по безопасности переходит на работу в Google Михал Залевски будет работать над устранением уязвимостей в интернет-проектах компании Google. Новости 01 августа, 2007 http://www.securitylab.ru/news/300553.php
