08.02.2011, 01:00
|
|
Постоянный
Регистрация: 22.09.2010
Сообщений: 331
С нами:
8230646
Репутация:
145
|
|
Всем привет!
Продолжим использовать уязвимости на чудесном проекте Mail.Ru
Вчера один товарищ с форума, в одной из своих тем, навёл меня на мысль,
конечно для опытных это элементарно, но всё же думаю стОит уделить внимание
очередной XSRF на Mail.Ru) Суть её заключается в том, что можно поставить пароль на той же папке "Входящие", причём пароль юзверь не узнает...Может громко сказанно, но напоминает WinLock
И так, приведу два(с половиной) кода, первый из них можно просто отправить пользователю на почту, заранее указав в теле html-кода данные, такие как пароль на папку и секретный вопрос/ответ при помощи которого...Эммм..В нём можно вписать например короткий номер SMS, при отправке на который, юзер получит в ответ пасс на папку
код:
Спойлер
Hide:
Чтобы просмотреть данный текст, авторизуйтесь на форуме.
Меняем значение параметра value, там где ******
В коде я допустил пару ошибок))
Ну это так, типа secret "защита" от школьников)) А то щас карантин...
Второй метод установки пасса состоит в том, чтобы юзверь перешёл по ссылке на вашу страничку, в которой встроен iframe, вот сама страничка:
Спойлер
HTML highlight
Перейдя на которую, юзер увидит фотку))
А тем временем на папку в его мыльнике поставится пароль...
В коде выше, содержимое pass.html:
Спойлер
Hide:
Чтобы просмотреть данный текст, авторизуйтесь на форуме.
Также меняем значение параметра value
Для теста можете зайти сюда http://tinyurl.com/6l8exk3
Пароль ставится 123456
Удачи)) |
|
|
08.02.2011, 01:00
|
|
Новичок
Регистрация: 28.06.2010
Сообщений: 28
С нами:
8354486
Репутация:
2
|
|
Зачем ошибки делал от школьников, если код в тесте без ошибок выходит.
Сохраняй и пользуйся, мозг включать не надо.
|
|
|
|
08.02.2011, 01:00
|
|
Постоянный
Регистрация: 22.09.2010
Сообщений: 331
С нами:
8230646
Репутация:
145
|
|
Цитата:
Сообщение от masych
Зачем ошибки делал от школьников, если код в тесте без ошибок выходит.
Сохраняй и пользуйся, мозг включать не надо.
Действительно..А зачем включать мозг?
|
|
|
|
08.02.2011, 01:00
|
|
Познающий
Регистрация: 01.02.2011
Сообщений: 36
С нами:
8040566
Репутация:
-4
|
|
а как потом его убрать ???
|
|
|
|
08.02.2011, 01:00
|
|
Постоянный
Регистрация: 22.09.2010
Сообщений: 331
С нами:
8230646
Репутация:
145
|
|
Папки -> редактировать(напротив входящие)
|
|
|
|
08.02.2011, 01:00
|
|
Постоянный
Регистрация: 08.11.2009
Сообщений: 448
С нами:
8688566
Репутация:
0
|
|
maxarr, не надо было эту фишку выкладывать. Тема давно работает, обидно будет, если прикроют.
|
|
|
|
08.02.2011, 01:00
|
|
Участник форума
Регистрация: 24.11.2010
Сообщений: 276
С нами:
8139926
Репутация:
13
|
|
Цитата:
Сообщение от maxarr
Папки -> редактировать(напротив входящие)
Редактировать - жаль что он там увидет пароль
Добавлено через 4 минуты
Цитата:
Сообщение от maxarr
И так, приведу два(с половиной) кода, первый из них можно просто отправить пользователю на почту, заранее указав в теле html-кода данные, такие как пароль на папку и секретный вопрос/ответ при помощи которого...Эммм..В нём можно вписать например короткий номер SMS, при отправке на который, юзер получит в ответ пасс на папку
Можно подробнее,про смс, какой смс -биллинг предложите? как его создать,или выложите пример PHP-скрипта.И еще,вот вы пишите " отправить пользователю на почту",и как он прочтет,ну скажем "как получить пароль" или текст с объяснением, если его папка Входящие запоролено будет ?
При просмотре Жертвой страницы,его почта на майле должна быть активная?
|
|
|
|
08.02.2011, 01:00
|
|
Новичок
Регистрация: 11.01.2011
Сообщений: 18
С нами:
8070806
Репутация:
-8
|
|
тема очень давно работает  |
|
|
|
08.02.2011, 01:00
|
|
Участник форума
Регистрация: 18.01.2011
Сообщений: 150
С нами:
8060726
Репутация:
17
|
|
maxarr дружище я не школьник давно) но с этим делом у меня пока плохо) можешь плиз ошибку которую ты допустил в коде мне в личку отправить!? буду очень благодарен.
|
|
|
|
08.02.2011, 01:00
|
|
Участник форума
Регистрация: 24.11.2010
Сообщений: 276
С нами:
8139926
Репутация:
13
|
|
Цитата:
Сообщение от Neo-pro
можешь плиз ошибку которую ты допустил в коде мне в личку отправить!?
Лучше выложи для всех
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Комбинированный вид
