Пассивные xss на почтовых серверах

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.

Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.

⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

#11

22.11.2010, 22:38

Kusto

Moderator - Level 7

Регистрация: 04.02.2007

Сообщений: 554

Провел на форуме:
7518056

Репутация: 1089

Отправить сообщение для Kusto с помощью ICQ

Цитата:

Сообщение от ~d0s~

~d0s~ said:
realty.
mail.ru

Код:

Code:
http://realty.mail.ru/detail/001667605.html

Добавляем в куки имя search_res а значение ставим ">alert(123)
Обновляем страничку,любуемся аллертом

Цитата:

Сообщение от satana666

satana666 said:
В поле "Электронная почта"
">alert(document.cookie)

PHP код:


		
			
PHP:
[COLOR="#000000"][COLOR="#0000BB"]http[/COLOR][COLOR="#007700"]:[/COLOR][COLOR="#FF8000"]//avito.ru.msn.com/additem[/COLOR][/COLOR]

ребят я конечно репу подниму, но скажу что такие уязвимости- бесполезны: цель ксс- атаки- выполнение произвольного кода на стороне клиента жертвы и как-бы просить его подправить куки, либо вписать в поле емайла наш ядовитый код- как-то не по феншую....

P.S. To satana666 - правильное исправление поста, второй ссылкой уже можно добиться результата