Новые ХSS на mail.ru и pochta.ru
 

это на мэйл.ру
а это на почта.ру
как видите на почта ру есть сразу 2 хсс =)
источник ww.web-hack.ru

Что эта ХСС дает и как ей пользоваться?
ХСС_КОД_ЗДЕСЬ -сюда примерно что вписывать?

ну млин XSS не знаешь че такое....примерно впиши <script>alert();</script> и увидишь....можно перехватить сессию но я не знаю как и в описании баги тож не дается

http://www.pochta.ru/forgot.php?logi...omain=front.ru
- это форма смены пароля!
И помойму она не чего не дает.?

но в описании баги автор сказал что через нее можно перехватить сессии но я не понял как...если хочешь оригинал почитать то зайди на ВебХак

да таких уязвимостей дофига и больше. Мы называем их пассивный Xss, потому что для проведения атаки надо заставить пользователя выполнить запрос

а как можно чужуюю сессию перехватить?
типа оффтоп: Джазз а зачем у тебя под ником не Moderator а Morderator написано?)))))

можно, но таким методом делать - геморой себе наживать.
Легче и надежнее просто отослать письмо с картинкой или фреймом с урл сниффера, и сессия будет перехвачена. только ты ей не воспользуешься чтобы зайти в ящик, потому что на почте.ру идет проверка по айпи. Надо чтобы действия исходили из браузера жертвы.. Ну как обычно вобщим.
про оффтоп: спасибо что сообщил, исправим. Шутка))))

=)) короче опасность: минимальная ))) да и вобще самая неопасная дыра это ХСС )

про про оффтоп: =))) надеюся что админы увидели мое сообщение ))

Нефига писать то что написано на webhack