ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > БЕЗОПАСНОСТЬ_OLD > Уязвимости > E-Mail
Перезагрузить страницу Активная XSS на mail.ru
   
 
 
Опции темы Поиск в этой теме Опции просмотра
Предыдущая Предыдущее сообщение   Следующее сообщение Следующая

  #11  
Старый 02.08.2006, 04:47
Dronga
ВАША реклама ТУТ!!
Регистрация: 01.07.2005
Сообщений: 647
Провел на форуме:
3478464

Репутация: 714


Отправить сообщение для Dronga с помощью ICQ
По умолчанию
Берёшь абсолютно любое видео на античате, из раздела XSS и на примере mail.ru.

Всё о чём шла речь выше - это способы запустить свой скрипт в браузере жертвы. На практике делается так, отправляется письмо в котором маскируется XSS.. Пользователь получает письмо от некой дамы, например "Katrin", с непонятной темой "MRA"... Девушек то все любят, да и намеки в каждой фразе видят, времена такие.. Открывает и читает:
Цитата:
Privet.. Ya tebe nikogda ne pisala,no sey4as ya buhaya i sama ne znau 4em zanatsa..Daje v translite piwu ot nefig delat.Vot ogladivaus na svou jizn. Molodaya, simpatichnaya, a 4ego-to vse ravno ne hvataet.. Vernee kogo-to. Net, ne podumay, eto ne priznanie v lubvi.. Mi s toboy daje ne znakomi.. I vovse ne sposob poznakomitsa s toboy.. Hota kto ego znaet 4to budet dalwe. Piwu na slu4ainiy yawik, daje ne uverena 4to ti muj4ina.. Samoe glavnoe 4to ya ho4u tebe skazat - po4awe osmatrivaisa, skolko vokrug takih kak ya, molodih, simpatichnih i odinokih? Mojet esli ya hotabi odnogo 4elove4ka zastavlu zadumatsa, to moya jizn stanet lu4we, zna4it ewe ne vse poterano dla lubvi v etom mire.. Ladno, ne zabivay sebe golovu moimi mislami, prosto oglanis i zadumaisa nad etim mirom..
А пока он читает, работает код из этого же письма... Всё зависит от фантазии злоумышленника.

Что это может быть??? Да что угодно. Самое банальное, это отправить куки на сниффер и ручками их подменить, а потом спокойно, не вводя никаких паролей попасть в чужой ящик. Никаких знаний практически не нужно, а XSS можно узнать у более сведующих товарищей.

Более продвинутым считается написание скриптов, которые всё сделают за тебя.. Говоря конкретно о mail.ru по собственному опыту: копия всех писем имеющихся в ящике + настройка пересылки всех входящих на твой ящик + удаление письма с сервера. Юзер прочтёт, а при попытке обновить/удалить/переслать увидит надпись "Сообщение удалено с сервера"... Теперь иди свищи и рассказывай, что было, вот только куда-то делось.. Это очень трудоёмкая работа, требующая определенных навыков в програмировании и понимание основ взаимодействия с веб-сервером (запросы, методы аутентификации).

Самые творческие и авантюрные личности идут ещё дальше =) Они используя XSS, перемещают пользователя на поддельную страничку.. Мол произошла ошибка, сессия потеряна.. Страничка в мейловском дизайне, ничего подозрительного, реклама как обычно... После ввода пароля реально перекидывает обратно в ящик... Вот только введённые вами данные уже ушли к хакеру на мыло.

А можно всё совместить =) Вопрос ваших знаний.
__________________
My ICQ: 296@463@859 ONLY!! Please check your list!!
И здесь могла бы быть ВАША реклама!!!
Последний раз редактировалось Dronga; 02.08.2006 в 04:52..
 
 



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ