Тема: Взлом mail.ru с помощью пассивной xss
Показать сообщение отдельно

  #32  
Старый 30.01.2012, 01:00
Nick Hander
Познавший АНТИЧАТ
Регистрация: 30.03.2010
Сообщений: 1,068
С нами: 8484086

Репутация: 335


По умолчанию
вопрос первый,как это обойти? и вопрос второй,пример ссылочки с перенаправлением на др сайт можно???
Как обходятся такие вещи? Ищутся подобные, не слишком популярные сервисы по укорачиванию ссылок. Пользуются ими. Если же и там выскакивает, то можно зарегистрировать сайт на любом бесплатном хостинге (можно даже без php) и залить как главную страницу след. содержания

code:




Возможно, на некоторых особо популярных хостингах на всех доменах третьего уровня выскакивает подобное предупреждение. Тогда придется раскошелиться на домен второго уровня и на платный хостинг (займет макс 130 р.). Но легче найди какой-нибудь неизвестный системе забугорный бесплатный хостинг и там проделать подобное. А вообще, такие ссылки с переадресациями на пассивку умные люди не делают. Умные люди заманивают на страницу, в которой в скрытом фрейме спрятана пассивка, и через секунду перекидывают именно на ту страницу, что указана в письме. То есть пользователь и видит именно то, что хотел увидеть, и ничего сверхъестественного не подозревает. А куки тем временем у нас. крытый фрейм, если кто не помнит, задается так:

code:


А вообще люди, то, что вы сейчас делаете - неразумное баловство. Я ничего против ХSS не имею, но использовать ее надо с умом. Я уверен, так, как вы используете, взломаете лишь пятиклассника Васю Пупкина максимум. И то не факт. Готовить атаку надо с умом, чтобы жертва совсем ничего не заподозрила! Ни на какие tinyurl не надо ссылки давать, ссылка должна быть наименее палевная, желательно в виде домена второго уровня, пассивка должна быть на сто рядов спрятана в коде, желательно в каких-нибудь огромных файлах скриптом для главной странице в виде небольшой функции в середине кода, чтобы хрен кто ее нашел... Сниффер нужно устанавливать свой, на свой хостинг, ибо здешний сниффер палится антивирусами по домену. Само сообщение с пассивкой должно быть продумано и ставило сель заманить по ссылки, и пользователь затем бы видел то, что и ожидал увидеть. И ничего бы не заподозрил. А так вы только своими некачественными действиями тратите драгоценные пассивки, которых на mail.ru не очень много и ценятся они в тысячах рублей.
 
Ответить с цитированием