ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Удалить письмо с сервера навсегда можно. Конечно при небольших условиях.

Тут есть одно правило, если может удалить письмо пользователь, то почему не может удалить его хакер, выдающий себя за пользователя? Короче говоря на всех серверах где есть функция удаления письма и есть XSS уязвимость в теле письма, удаление не вызывает проблем. Необходимо только чтоб XSS сработала в нужной нам среде, то есть внутри браузера с необходимым набором функциональности (к примеру, требуется поддержка javascript и включенное отображение картинок). Главное что бы не было дополнительных защит от автоматического удаления, к примеру, запрос на введение текста с картинки значительно затруднит процесс, зачастую отбивая желание продолжать у хакера =) Ну или запрос на дополнительный ввод пароля, тоже здорово обломает. К счастью/сожалению очень немногие сервисы снабжают дополнительными механизмами защиты свои аккаунты.

Если ты в XSS прописываешь alert(); то он выполнится... Выполнится любой произвольный код написанный тобой. Так что мешает написать скрипт, который полностью симитирует действия пользователя??? Средства JavaScript дают тебе все возможности для этого + не помогут никакие привязки к IP и refferer.

Вот собственно и ответ. Всё выше описанное касается не только удаления, но и таких вещей, как смена личной информации пользователя, смена контрольного вопроса, дополнительного ящика, параметров пересылки, на некоторых сервисах даже есть возможность удаления аккаунта и прямой смены действующего пароля. Вот так вот.

Что касается ряда альтернативных методов описанных выше, к сожалению, ни один из них физически само письмо со всеми его атрибутами не удалит, изменения возможны только в видимом содержании.

Тема я считаю исчерпана.

__________________
My ICQ: 296@463@859 ONLY!! Please check your list!!
И здесь могла бы быть ВАША реклама!!!