XSS на почте http://nm.ru

Discussion in 'Уязвимости Mail-сервисов' started by Tem, 18 May 2006.

  1. Tem

    Tem -

    Joined:
    5 Oct 2005
    Messages:
    557
    Likes Received:
    157
    Reputations:
    179
    Нашёл 15 мин назад,сделал скриншоты.

    Вбиваем в поиск "><script>alert()</>

    Скриншот.
    [​IMG]

    И получаем алерт.

    Скриншот.
    [​IMG]

    Вот так то ))
     
    #1 Tem, 18 May 2006
    4 people like this.
  2. Micr0b

    Micr0b Elder - Старейшина

    Joined:
    14 Jan 2006
    Messages:
    223
    Likes Received:
    168
    Reputations:
    26
    Кльов всьо пашет +
     
    #2 Micr0b, 18 May 2006
  3. Go0o$E

    Go0o$E Members of Antichat

    Joined:
    27 Jan 2006
    Messages:
    304
    Likes Received:
    228
    Reputations:
    419
    #3 Go0o$E, 18 May 2006
  4. [Zarakul]

    [Zarakul] Elder - Старейшина

    Joined:
    12 Dec 2005
    Messages:
    153
    Likes Received:
    49
    Reputations:
    6
    Tem крут! Только скрины можно было обрезать, а то страницу перекарёжило =)
     
    #4 [Zarakul], 18 May 2006
  5. vectorg

    vectorg Противоядие

    Joined:
    7 Aug 2005
    Messages:
    335
    Likes Received:
    140
    Reputations:
    236
    смысла в пассивных xss особого нет
    там судя по всему фильтры вообще отсутствуют, <script></script> в теле проходит на ура =()
    правда сессии живут не долго...
     
    #5 vectorg, 18 May 2006
  6. Tem

    Tem -

    Joined:
    5 Oct 2005
    Messages:
    557
    Likes Received:
    157
    Reputations:
    179
    Да Векторг сошласен сисии живут мало, но мне так кажится можна успеть просмотреть почту и взять нужное )))
     
    #6 Tem, 18 May 2006
  7. Dronga

    Dronga ВАША реклама ТУТ!!

    Joined:
    1 Jul 2005
    Messages:
    575
    Likes Received:
    239
    Reputations:
    249
    Глаза разуйте и поглядите пост Go0o$E. Я тоже уже писал об этих XSS на форуме.
     
    #7 Dronga, 18 May 2006
    1 person likes this.
  8. Tem

    Tem -

    Joined:
    5 Oct 2005
    Messages:
    557
    Likes Received:
    157
    Reputations:
    179
    Можит и кто и находил до меня тама КСС, но я просто так просмотрел , и всё что нашёл выложил.
     
    #8 Tem, 18 May 2006
  9. Dronga

    Dronga ВАША реклама ТУТ!!

    Joined:
    1 Jul 2005
    Messages:
    575
    Likes Received:
    239
    Reputations:
    249
    Я не помню точно, но по-моему, там ещё есть SQL INJECTION в профиле. Давно смотрел. А так и сразу всю базу можно попытаться утянуть. В личных данных проставьте одиночную кавычку во всех полях, увидите.
     
    #9 Dronga, 18 May 2006
    Last edited: 18 May 2006
(You must log in or sign up to post here.)