Всем привет!

Продолжим использовать уязвимости на чудесном проекте Mail.Ru

Вчера один товарищ с форума, в одной из своих тем, навёл меня на мысль,
конечно для опытных это элементарно, но всё же думаю стОит уделить внимание
очередной XSRF на Mail.Ru) Суть её заключается в том, что можно поставить пароль на той же папке "Входящие", причём пароль юзверь не узнает...Может громко сказанно, но напоминает WinLock
И так, приведу два(с половиной) кода, первый из них можно просто отправить пользователю на почту, заранее указав в теле html-кода данные, такие как пароль на папку и секретный вопрос/ответ при помощи которого...Эммм..В нём можно вписать например короткий номер SMS, при отправке на который, юзер получит в ответ пасс на папку

код:
Спойлер

Hide:
Чтобы просмотреть данный текст, авторизуйтесь на форуме.

Меняем значение параметра value, там где ******

В коде я допустил пару ошибок))
Ну это так, типа secret "защита" от школьников)) А то щас карантин...

Второй метод установки пасса состоит в том, чтобы юзверь перешёл по ссылке на вашу страничку, в которой встроен iframe, вот сама страничка:

Спойлер

HTML highlight


Перейдя на которую, юзер увидит фотку))
А тем временем на папку в его мыльнике поставится пароль...
В коде выше, содержимое pass.html:

Спойлер

Hide:
Чтобы просмотреть данный текст, авторизуйтесь на форуме.

Также меняем значение параметра value

Для теста можете зайти сюда http://tinyurl.com/6l8exk3
Пароль ставится 123456

Удачи))