Задача: XSS mail.ru

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ

Скрыть

		ANTICHAT > ОФФТОП > Болталка
Задача: XSS mail.ru

Страница 1 из 2

Опции темы

Поиск в этой теме

Опции просмотра

Задача: XSS mail.ru ПРИЗ - 10 вмз!!!

10.01.2008, 09:05

zloy_admin

Познающий

Регистрация: 04.01.2008

Сообщений: 31

С нами: 9658639

Репутация: 15

Задача: XSS mail.ru ПРИЗ - 10 вмз!!!

Приз - 10WMZ тому, кто первый решит такую задачу:
Придумайте письмо, при открытии которого через ВЭБ
интерфейс юзера автоматически отправит на заданный урл.
Письмо должно быть вида:
<HTML>
..........
</html>

К сведению:
При создании письма через ВЭБ в режиме
"Простой текст" вписываем

Код HTML:

<BODY ONLOAD=alert('XSS')>

затем нажимаем на "Расширенный формат" - и выскакивает алерт.
Вывод - дырки есть

Решения писать в ПМ

𝕏 Twitter Reddit Telegram Копировать ссылку

Последний раз редактировалось zloy_admin; 10.01.2008 в 09:16..

10.01.2008, 09:52

zloy_admin

Познающий

Регистрация: 04.01.2008

Сообщений: 31

С нами: 9658639

Репутация: 15

просьба проверять решение на практике перед тем, как присылать

10.01.2008, 10:17

c411k

Reservists Of Antichat - Level 6

Регистрация: 16.07.2005

Сообщений: 653

С нами: 10957346

Репутация: 2727

Цитата:

затем нажимаем на "Расширенный формат" - и выскакивает алерт.

а можно скрин? либо у меня лыжи не едут, либо там нету твоего "расширенного формата"..

__________________
ПИУ-ПИУ...

Последний раз редактировалось c411k; 10.01.2008 в 10:26..

10.01.2008, 10:20

~~bul.666~~

Banned

Регистрация: 06.06.2006

Сообщений: 944

С нами: 10489346

Репутация: 1403

Цитата:

либо там нету твоего "расширенного формата"..

Оно работает тока в Ie

10.01.2008, 10:23

~~bul.666~~

Banned

Регистрация: 06.06.2006

Сообщений: 944

С нами: 10489346

Репутация: 1403

Кстати при долбаном "расширенном формате" XSS работает, но при отправке сработает фильтр...
Например <input type=button onclck='alert()'>
Преобразуеца как <input type=button filtered-onclck='alert()'>
<script> => <xscript>
<body onload=> Помойму выще срезает... Не проверял

10.01.2008, 10:29

zloy_admin

Познающий

Регистрация: 04.01.2008

Сообщений: 31

С нами: 9658639

Репутация: 15

самый первый фильтр ругается даже на пустые <script></script> во многих его проявлениях...

10.01.2008, 10:40

zloy_admin

Познающий

Регистрация: 04.01.2008

Сообщений: 31

С нами: 9658639

Репутация: 15

и еще: фильтр " заменяет на \"
но вот если кодировать, то пропускает

но другая проблема: обойти фильтр можно кодированием, но потом почему-то всё, что было закодировано не идет на исполнение.
Кажется, что почтовик сначала "пережевывает" ХТМЛ, а потом заново собирает страницу письма через ПХП....

10.01.2008, 10:53

zloy_admin

Познающий

Регистрация: 04.01.2008

Сообщений: 31

С нами: 9658639

Репутация: 15

вот раньше лафа была

))

10.01.2008, 17:18

kot777

Seo Pozitive

Регистрация: 13.08.2004

Сообщений: 779

С нами: 11442626

Репутация: 1635

А потом ты проспамишь массово, и пустишь всех пользователей, например на связку...и это за 10 вмз? Ты букву "k" не пропустил?

__________________
ICQ 328498627

Хочешь Элитный OpenVPN за 10 у.е ?

#10

11.01.2008, 07:56

zloy_admin

Познающий

Регистрация: 04.01.2008

Сообщений: 31

С нами: 9658639

Репутация: 15

короче, решение кто-нибудь нашел? или хотябы близок к нему?

Страница 1 из 2

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Активная XSS на mail.ru	Dronga	Уязвимости Mail-сервис	69	05.04.2008 01:56
xss mail.ru	Майор	Уязвимости Mail-сервис	19	22.08.2005 18:41
Cross Site Scripting FAQ	k00p3r	Уязвимости	6	12.06.2005 16:23

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход