Топикстартер))) не ты пароль потерял? 6rtmz7fg

на этот форум пасс подошел

взято от сюда:
http://zismo.biz/forum/20-317714-1

Эта так сказать активка уже старая! очень давно помню ее кто-то здесь постил, тогда я ее раскрутил и отдал топикстартеру! Но она очень быстренько подохла! Фильтр тела сообщения доработали а форму так и оставили, поскольку она безобидна при гет и пост запросе, то есть ее даже как пасивку невозможно использовать!
Так что бесполезно даже смотреть в этом направлении!

люди добрые подскажите имея пассивку на поддомене никак не попасть в почту?!! пассивки на поддоменах бесполезны чтоле

Цитата:

Сообщение от nightop

люди добрые подскажите имея пассивку на поддомене никак не попасть в почту?!! пассивки на поддоменах бесполезны чтоле

В данный момент пасивки/активки на поддоменах бесполезны,
так как меил.ру привязывает сессии к:
1. юзер агенту браузера
2. ввел проверку по поддомену auth.mail.ru который выдает куку SSDC с HTTPONLY
3. ввел проверку куки на e.mail.ru - sdc с HTTPONLY
P.s. HTTPONLY означает, что даже если у вас будет пасивка на поддоменах e.mail.ru и auth.mail.ru нужные куки для использования емейла вы все равно не получите!

Цитата:

Сообщение от rox@hak

В данный момент пасивки/активки на поддоменах бесполезны,
так как меил.ру привязывает сессии к:
1. юзер агенту браузера
2. ввел проверку по поддомену auth.mail.ru который выдает куку SSDC с HTTPONLY
3. ввел проверку куки на e.mail.ru - sdc с HTTPONLY
P.s. HTTPONLY означает, что даже если у вас будет пасивка на поддоменах e.mail.ru и auth.mail.ru нужные куки для использования емейла вы все равно не получите!

спасибо за столь исчерпывающий ответ! печально конечно( А что скажите про почтовики яндекса рамблера? там можно нормвльно заюзать пассивки?

Цитата:

Сообщение от nightop

спасибо за столь исчерпывающий ответ! печально конечно( А что скажите про почтовики яндекса рамблера? там можно нормвльно заюзать пассивки?

На яндексе в том году была не то что пасивка, но и активка в теле сообщения!
Яндексоиды немного изучив попытались ее прикрыть, сделав загрузку swf только с доменов яндекса, но умельци быстро нашли редирект и всеравно некоторое время использовали активку!
После этого яндекс поставил главной куке параметр httpOnly
и тем самым сделал невозможным получить нужную куку!

На рамблере уже давно по кукам войти не возможно!

а пассивку можно использовать для подмены формы авторизации например? свой html в js скрипте..

Цитата:

Сообщение от nightop

а пассивку можно использовать для подмены формы авторизации например? свой html в js скрипте..

Метод похищения аутентификационных данных с помощью XSS вполне возможен и заключается в возможности переопределения обработчика формы аутентификации вот и всё.
пример
PHP highlight

активка есть на майл.ру 2014 IMAGE http://i6.pixs.ru/storage/7/6/3/mailbmp_4936151_10681763.jpg
,а толку с неё есть?