Привет всем я хотел рассказать как можна угнать куки на mail.ru с помощью пассивной xss.

1.Нам понадобиться Пассивка

2.Сниффер я буду использовать сниффер https://hacker-pro.net/sniffer/

3.Мозги и руки !

Так заходим на сниффер и берём Код для пассивной XSS атаки вот он

мы теперь должи прекрепить его к пассивной xss после знака "> и у нас получется вот так

Если жертва перейдёт по этой ссылке то куки придут на наш сниффер.

Но это ещё не всё ссылка слишком подазрительная мы должны её зашифровать я буду использовать сервис http://tinyurl.com/

заходим на этот сайт и где написано

вбиваем туда нашу ядовитую ссылку и нажимаем на кнопочку

И у нас появится ссылка http://tinyurl.com/823p5w9 ну увас может быть чучуть другая ну это не важно кидаем эту ссылку жертве и если она перейдёт по этой ссылке то её куки будут у нас.

Как заменить cokies ? настройки\общие настройки\расширения\cokies и найти там маил.ру cokies там будет такая вкладка mpop нажимаешь на неё и в вкладке значение вбиваешь cokies жертвы.

Внимание если жертва перейдёт по ссылки и выйдет из своего мыла то куки автоматически умерают.

ну чтож думаю всё !

не забываем про "+"

Автор : Tickhack

tickhack, допустим, ты получил через XSS куки mail.ru. Как с помощью них взломать мыло?

После этого что делать?

M_script после этого ты попадаешь в мыло жертвы если куки еще действительны будут!)))

после этого заходишь на майл.ру и попадаешь на мыло жертвы

только не забудь заменить куки жертвы на свои в опере

Хе-хе. Тут в паблик выложил пассивную XSS, в другой теме продавал ее минут 30 назад за 25$. Мужик)

Не жалко у меня их много

уже нету пассивки

Потроллить решил?

martmm, tickhack, вы неправильно поняли вопрос.

Взлом подразумевает получение полного контроля над ящиком. Как изменить пароль или данные для его восстановления, имея только куки юзера?

Ну если я не отстал от жизни, то думаю никак. Разве мегабаг найдут. Видел пару тем, в которых предлагают купить:

Как это делают, хз.

Стандартных возможностей для этого в почтовом сервисе разумеется нет. Так же, как нет стандартных возможностей внедрения JS-кода, кражи сессий и т.д.

В мейле это невозможно.

Сейчас можно только: в одноклассниках, вконтакте.

Раньше можно было в яндексе

Вот вот. Есть какие-то умлельцы. CSRF+Fake?!

Откуда такая уверенность в безопасности мейла?

Спасибо.Очень благодарен

Ребята, а кким образом можно обезопасить себе на mail.ru, чтоб не стать жертвой XSS? фейк, СИ - не пройдет как бы 98% это я о себе, но боюсь, что с помощю XSS это сделают. Может есть какие то решения как можно больше обезопасить себя?

В настройках безопасности есть пункт сессия только с одного IP-адреса

thrust, сессия с одного IP не поможет. Через XSS можно не только куки украсть, но и прочитать все письма непосредственно из твоего браузера.

B1t.exe, не заходи на мыло через веб-интерфейс, используй почтовые клиенты.

Он уже стоит у меня (или по умолчанию у всех стоит)

без клиента никак? просто никак немогу привыкать клиенты. мне они не нравятся.

Можно еще отключить JS в браузере. Но удобнее юзать клиент.

В этой статье можно было описать хотя бы старый нерабочий способ или указать ссылки на темы продаж.

"Как угнать куки через пассивку" != "Взлом мыла с помощью пассивной xss"

Способы есть! Их продают! Где-то давно видел способ смены пароля в паблике через другой ящик! Сейчас работает или нет не знаю!

не работает

если он спалил в паб, естественно она прожила не долго (пофиксили)

ну это для тебя будет примером, теперь ты знаешь что такое пассивная XSS и как её эксплуатировать

Зачем продавать то, что лежит в паблике?

в паблике уже нету