Просмотр фото на mail.ru
 

Чуваки, есть какой нить способ посмотреть фото которые не предназначены для публичного пользования на мейл.ру? Кроме взлома мыла.

кроме взлома? .... попроси хозяина)

Ну, а если хозяин против?!

Попробуй у него спереть хотя бы кукисы, чтобы залогиниться под его именем в почтовике. А там в настройках разреши просмотр всем)))гы.

это уже взлом)

Это вообще как? вообще не ломая?

Я имел ввиду чтобы хозяин мыла ничего не заметил

Если ты умело сопрешь у него кукисы он и так ничего не заметит)))гы.

Ладно

А если совсем не взламывая, то можно убить админа mail.ru и устроится туда на работу) и можешь смотреть фотки кого хочешь...

Шутки эт канешно хАрАшо, но я все таки спрашивал более реальный вариант!

Узнай вторичное мыло (там в серверах знакомств мэил ру при реггистрации надо указать его) Обычно это мыло не используеться и чащу почему то на яндексе.Ломани его ,напиши жертве в анкету знакомств ,зайди на сломанную почту ,там будет письмо ОДНО ПРОПУЩЕННОЕ СООБЩЕНИЕ
Заходишь в письмо ,там будет ссылка на сообщение и как токо на нее жмешь,ты автоматом в ее анкете :) то есть ты залогинин под ее аккаунтом ;)

Ок, попробую.....

Есть и более простой вариант.

1. Смотрим, какой URL-вид имеет запрос на добавление пользователя в список избранных (вкладка "управление доступом"):

2. Теперь просто нужно заставить нажать жертву на эту ссылку и прописанный в ней мейл окажется в списке избранных. Плюс незаметность. Что делаем для этого: регим свой сайтец, туда заливаем html-страничку с нулевым фреймом:
3. Плюс СИ для заманивания жервы на твой сайтец. Здесь уже на твой вкус и фантазию... Самое простое (почтой пишешь):
- Слушай, а ты не размещаешь свои фотки еще где-то в нете? Сайта у тебя нет?
- Нет.
- А я вот нашел с твоими фотками сайт - http://mysite.ru/mypage.html
(И, естественно, на страничке тегами img paзмещаешь несколько ее/не ее (жертвы) фоток для беспалевности).

4. Этот вариант прокатит, если закрытый альбом доступен для избранных, что наиболее часто встречается, если он доступен только для создателя, придется смотреть, какой Url-вид имеет запрос на открытие альбома в общий доступ (более беспалевный, но более сложный вариант - в доступ для избранных + добавление тебя в избранные одним нажатием жертвы) и дальше действовать по аналогии.

____________________

Корректировочка.
Проделав все вышеописанное теперь вы станете всего лишь "Любимым автором", а не "Избранным". В пост-запросе появились два дополнительных поля, поэтому и мы внесен свои поправки.
Также осталось необязательное второе поле add, его мы опускаем.

"если он доступен только для создателя"
А на кой хрен тогда нужен альбом? =)

5. Это верно. Такой способ не сработает, например, в IE.
Известная причина тому - невозможность загрузить во фрейм страницу другого сайта, имеющую ограничения по доступу только для авторизованного пользователя.

Все, что нам нужно сделать для обхода, это найти банальную пассивную ХSS и прописать код с ее учетом. ХSS в данном случае поможет нам выполнить отправку запроса непосредственно внутри домена.

Демонстрация.
1) пассивную на мыл ру иногда бывает интересно поискать только с целью обхода фильтрации. Например
Фильтрация имеется в обоих параметрах полей гет-запроса (то, что идет после cd= и placetype= ).
Но если мы проверим фильтрацию в самих названиях полей.
ее там не окажется, :D и вы увидите что-то типа
Следовательно, xss примет вид
2) часть скрипта, отправляющая внутридоменный запрос на добавление вас в список избранных, будет выглядеть по-прежнему также, но добавляем обработчик загрузки фрейма, чтобы быть уверенными, что запрос на фото.майл.ру отправлен (второй вариант, - использование settimeout(), - менее предпочтителен, на мой взгляд)
[PHP]кодируем все вместе в Char
3) собираем сплойт, который будет висеть на странице нашего сайта и ссылку на которую будем давать юзеру. При этом указываем язык - JScript, чтобы заточить сплойт под IE. JScript будет понятен только IE.
Пихаем это на свою страницу вместе с кодом, где используется один ифрейм (см. пост выше). Когда пользователь заходит по ссылке на вашу страницу (1.html - напр), его перебрасывает на страницу маиловского поддомена, на которой открывается нулевой ифрейм со страницей фото.майл. Выполняется внутридоменный запрос, что разрешено IE. Потом юзера снова перебрасывает на ваш сайт (1_.html), где вы можете разместить, что вы ему обещали.
Под IE имеется побочный эффект: на некоторое время будет мелькать страница с xss, что обычно не вызывает подозрений.
Отличия и преимущества этого метода от кражи кук очевидны - не нужно ничего ждать, кроме того, даже если у юзера стоит привязка куков к айпи и запрет одновременных сессий, этот способ все равно подойдет.

П.С.
Если у вас уже ничего не работает, взгляните на дату этого поста - "вчера" это уже "вчера", а полгода назад это вообще смешно. :D
_________________________________
Под словами "вы", "мы" и "юзер" я понимаю одних и тех же людей! Используйте этот способ только для добавления СЕБЯ в свой список избранных! Предупреждение: использование описанного способа для просмотра чужих фотографий, получения доступа к иным конфиденциальным сведениям является уголовно наказуемым деянием. Автор не несет никакой ответственности за использование данного материала в противозаконных целях другими лицами. Вся информация представлена в ознакомительных целях. Форма изложения диктуется сугубо художественным замыслом наиболее удобного для восприятия изложения мысли.