Сперва по делу.

Нужен такой URL, который создаёт новый фильтр на ящике в домене mail.ru. У самого не получается, но я продолжаю пытаться. Там метод POST.
Фильтр должен быть настроен таким образом, чтобы на мой ящик отсылались ВСЕ входящие, а также оставались копии на ящике жертвы.


Флейм.

В жизни возникла ситуация когда стало необходимым контролировать кореспонденцию одного человека. И вот я вдохновленный видео Скальпеля (молодец, идея - супер) набрасываюсь на эту затею.. И с огорчением замечаю, что сайт переделан, запрос которым это делал Скальпель не канает... Так я и оказался тут. Хотя за сайтом слежу уже более года, зарегистрировался только сейчас. Стоит отметить, что только на вашем сайте существует такая открытость по теме взлома мыла. Расчитываю на активную беседу.

С тех пор, как вышло видео, URL как токового нету :(
нынче система проверяет Referer

Можно поконретнее?? Как с этим бороться?? Объясни суть.

Суть такова, что твой URL должен исходить со страницы
http://win.mail.ru/cgi-bin/editfilter

для начало надо найти XSS на mail.ru

Ну вот, уже ближе.. Теперь давайте представим, что я просто хочу автоматизировать создание фильтра без всякого заполнения формы на своем собственном ящике..

Насчет XSS не могу понять, работает или нет... Я отправляю письмо на ящик жертвы в виде html, к нему приставляю fotka.jpg, которая на самом деле есть fotka.html. Как известно, в таком случае, картинка подгружается непосредственно в браузер... но там ведь не картинка на самом деле.. Именно так я планирую создание фильтра... Что скажет уважаемая публика??

Что-то я вообще запутался в корягу.. Запрос отловил, но мне настойчиво продолжают говорить - ошибка, хотя и поле referer содержит http://win.mail.ru/cgi-bin/editfilter...
В чем дело, ума не приложу... :confused:
Если кто-то хочет помочь, то выложу скрины, как и что я делал.

А с XSS проблема... Как вообще отослать на мейл письмо, чтобы оно просматривалось именно как html?? Мейл делает таким образом ...

<xhtml>
<xscript><!-- alert('ok') --></xscript>
</xhtml>

Не трудно догадаться об изначальном сообщении))

Так как заставить читать файл именно как html??
И почему тогда раньше работали конструкции без открывающего <html>???

Перечитал свою мессагу, по-ламерски немного, но суть я передал..

если ты отправил письмо в виде хтмл то нет проблем))

Вроде как нашел намек на xss, во всяком случае javascript не фильтрует, но и обрабатывает не так как мне надо...

Конечно вероятно, что я ошибаюсь. Мне нужен человек которому это можно показать. Опыта у меня мало...
Есть на этом сайте люди которые сами находили xss и самое главное понимают технику нахождения??

PS.
Начал использовать брутфорс, пускай потихоньку перебирает... Времени почти не осталось...

Насчет XSS не могу понять, работает или нет... Я отправляю письмо на ящик жертвы в виде html, к нему приставляю fotka.jpg, которая на самом деле есть fotka.html. Как известно, в таком случае, картинка подгружается непосредственно в браузер... но там ведь не картинка на самом деле.. Именно так я планирую создание фильтра... Что скажет уважаемая публика??
идея хорошая

Конечно вероятно, что я ошибаюсь. Мне нужен человек которому это можно показать. Опыта у меня мало...
Есть на этом сайте люди которые сами находили xss и самое главное понимают технику нахождения??

показать можно мне =)

вобщем

не иби себе мозги запросами - самое простое это цги. напиши мне в личку с деталями о ящике и когда пациэнт его посещает и я тебе поставлю пересылку.

goblen, спасибо конечно за отзывчивость, но... Как-то самому хочется :rolleyes: Предлагаю делать это совместно, ну или хотя бы сообща.

Тем более когда кое что уже в арсенале есть, первые шаги уже намечены...
Thanks to Майор ;)

Для всех кто просто просматривает этот топик, я совершенно уверенно могу сказать что mail.ru не такой стальной каким может показаться..