|
Opera+mail.ru=Passive XSS
Opera+mail.ru=Passive XSS
Всем привет! Сегодня я вам предлагаю точечную атаку на пользователя mail.ru. Т.е вы должны быть уверены в том что жертва использует именно оперу. Для этого существуют разные способы о которых мы говорить не будем. Итак начнём. 1)Чтоб не париться с авторизацией на win.mail.ru поднимем что-то типа шлюза на tut.by (ну нравится мне этот почтовик 8)) ) для это зарегим там себе мыло и поставим перенаправление на мыло жертвы. 2)Чтоб сделать всё по быстрее я написал программку которая нам поможет. Вот её скрин: http://at.tut.by/bhm/1.JPG На скрине видно куда вставить ваше tut.by-евское мыло. Теперь если зайти на мэйл-ящик то увидим письмо с аттачем: http://at.tut.by/bhm/2.JPG А если нажать "Скачать", то увидим: http://at.tut.by/bhm/3.JPG Собственно что и нужно было нам. Баг кроется в имени аттача, благодаря этому мы обходим фильтр mail.ru на вредоносные скрипты. Каму нужны все подробности тот посмотрит исходники (Delphi) и во всём разберается. Там обсалютно детский исходник :) бинарик/исходник mail_psv_xss.rar Всем спасибо за внимание. Автор не несёт никакой ответственности за предоставленную информацию, так как она изложена ради вашей же безопасности. Ответственность за неправомерное применения данной информации ложиться только на вас и карается УК РФ ст. 272 |
Чего-то ты помойму из андерграунда вылез..
Хакер чтоли? Зы: молодец ;) |
Хмм... про ксс в аттаче ведь уже писали на форуме или я ошибаюсь?
|
Цитата:
|
Цитата:
Цитата:
|
metod nıshego, tolko devoshek durit, molodec
|
Цитата:
|
Для тех кто щя едит в тралейбусе/метро/электричке/автобусе/поезде/маршрутке и кто это читает и у кого есть смарт или тело с явай можно тоже отакавать,т.е послать писмос оттачем с именем evilscript.mp3= Это обходит все фильтры на маэле-ру
ЗЫ: Ребят рамблер тож уязвим =) Про yndex.ru пока промолчу!!!!!!!!!!!! |
n1†R0x
про хсс в атаче писали, если не ошибаюсь, в моа, причем давненько.. |
|
| Время: 05:21 |