Действующие уязвимости почтовых систем РФ
 

Привет, ващем, всем, как говорится ...

Значит, тут на античате щас валяются 2 статьи, одна про уязвимости веб-фейсов почтовых систем, другая про приколы в чате майл.ру...

Значит все уязвимости веб-фейсов давно пофиксены (яваскрипт не внедришь так просто и типа чтобы контакт-мыло на майл.ру сменить, надо пароль подтвердить, т.е. облом опять)... про приколы в чате ваще старье материалы пишут, типа в майл.ру сделать <img src=javascript....etc> - это, извините, давно пофиксено также...

Ващем, яваскрипт-внедрение в мыло мне не нужно (в конце концов мона просто ссылку сделать на сайт, которые будет менять мыло, пасс etc что надо там)..
а нужно мне, чтобы тут на античате кто-нидь провел исследование заново и показал способы на сервах (mail.ru, nm.ru, mail.com etc) овладевания мылом (ну там как на майл.ру например контакт-мыло меняешь (тогда пароля подтверждения не требовали) и высылаешь на него пасс)... вот и все...

Спасибо всем ,кто покажет действующие уязвимости хотя бы на одном сервере (желательно mail.ru) ..

Внедрить скрипт можно многими способами, но максимум, чего можно добиться - это получить кукисы и прочитать нужное письмо при условии, что юзер поставил флажок Запоминать пароль ...
Читать

Такой простоты я не встрчеал ...

Че Гевара:

Если ты говоришь, что внедрить скрипт на фейс майл.ру можно многими способами, то не молчи и предложи хотя бы один способа, доказательств нет - твои слова пока для меня фуфло...

А где это флажок ставить. я что-то не вижу (если в настройках, то где именно?)...
И поставит юзер, флажок, я возьму запишу в файл (пхп-скриптом) document.cookie и при условии что юзер все еще в майл.ру бродит, смогу письма читать? тогда вопрос, а смогу я менять у него настройки (пароль уес :-) ) ???

Ну что ж, не хотите проводить, не надо... :-)

Так же можно сказать что ТЫ фуфло! Потому что кто то лучше тебя что то делает. Но тут же такого никто не говорит, надо уважать друг друга. Уважай других и уважаем будешь. В нашей суровой жизни добиться уважения очень и очень тяжело, а вот потерять уважение - запросто, потом его восстановить ещё тяжелее. Вообщем правила почитай.

И другие способы ....

Че Геваре:
Спасибо, но 2 уязвимости не идут давно, а про 2 другие (которые ты сказал) я не знал.. они пошли... теперь беру свои слова насчет фуфла обратно

всем...
Ващем античат.ру хороший серв и всегда мне нравился, но в форуме я разочаровался.. походил по темам, тут никакой жизни, все тока ржут над чужими вопросами и все... да еще на меня наехали не знаю за что. спасибо хоть, что Че Гевара помог с ява-внедрением.. но мне это не надо, как я уже говорил...

Удачи всем

Почему я немогу посмотреть вложенный файл ??? ...

Товарищи, мы тут не бабки базарные, так что не будем ругаться из-за ерунды ...
Maxmen, тут ты совершенно не прав ... Никто не под кого не подсерает. Я так же могу заступиться за любого участника форума, если вижу что на него незаслуженно наезжают. Но так как я могу удалять и редактировать ваши сообщения, то необходимсоти разводить "чисто канкретный базар" я не вижу ... Админ или не админ значение не имеет ...
И вообще спор возник из-за ерунды и не какого продолжения он больше иметь не будет ...

Насчет вопроса из-за которого был поднят этот топик:
На данный момент web-интерфейс mail.ru не имеет никаких существеных недостатков, т.к. на все изменения профиля стоит защита паролем; секретный ответ вопрос не хранится в открытом виде, как в некоторых других системах ...
Еще раз повторюсь, что максимум чего можно достичь скриптовой инжекцией - похищения печенья ...

Майл ру пофиксил ошибку изменения примака мыла без подтверждения пароля, но фильтры на джаваскрипты они не правили, поэтому они до сих пор работают. К тому же способов внедрения джавы так много, что все наврено и в самом майкрософте не знают.

Кроме пофикса этой ошибки, других изменений на майл ру и на других серваках вроде бы не было...
Поэтому все должно работать.

Балин, такие посты потёрли =))