25.12.2005, 01:01
|
|
Seo Pozitive
Регистрация: 13.08.2004
Сообщений: 779
С нами:
11442626
Репутация:
1635
|
|
XSS на www.pochta.ru
Решил я побродить по почтовикам поискать себе почту чтобы мой ник не был занят. И вот в поисках набрел на -www.pochta.ru . Зарегинил себе почту и решил проверить на xss. Нашел пару пассивок, но думаю этого мало и решил посмотреть чё-нибудь активного. Какого же было моё удивление когда я прекрепил html к письму с простейшими xss, и они запустились вот несколько из них:
<iframe src=javascript :alert()>
<image src="" onerror=alert()>
<image src='' onerror=alert()>
<img src="" onerror=alert()>
<img src='' onerror=alert()>
<meta http-equiv=Refresh content=0;url=javascript :alert()> Когда же я запустил эту же html через IE, сложилось ощущение что почту вообще не защищали. Посмотрел Куки, там только сессия, поставил галку сохранить пароль, в Куках появился md5 криптованный пароль. После дальнейшего изучения нашел что для установки фильтра не нужен пароль. (с)KoT777
_______
статья перемещена из МОА, за ненадобностью. |
|
|