![]() |
|
Год, эдак, 2011.
Никто так и не доработал, и никто не пофиксил. |
пипец. а сейчас реально вообще купить xss активку именно?
или же кидал не миновать ? |
Цитата:
Сообщение от Ruslord1 пипец. а сейчас реально вообще купить xss активку именно? или же кидал не миновать ? Да почему? Реально, просто ищи людей с репутацией, а еще можешь через гаранта. |
Кажется, где-то в начале этого года ни одной рабочей не было. Во всяком случае новых уж точно. Только ещё не загаженый приват разве что.
|
Да почему же, еще недавно было. пару недель назад вот прикрыли. В принципе варианты есть, раскрутить можно и сейчас. Все дело во времени, которого нету=)
|
Скорее в целесообразности. Моё личное мнение6 не стоят они того. Иногда полезны, но далеко не так гибки, как их расписывают.
Я имел ввиду что в начале этого года не было. Позже моежт и появились, я не следил. |
У меня есть пассивка на майле, но обход хрома, IE не могу сделать. Кто может помочь?
|
Цитата:
Сообщение от EIONS У меня есть пассивка на майле, но обход хрома, IE не могу сделать. Кто может помочь? в лс |
Цитата:
Сообщение от Ruslord1 Вообщем нашел xss, судя по всему активная, вот только срабатывает лишь 1 раз! кто поможет раскрутить ее, дам еще 2 xss IMAGE http://cs408729.vk.me/v408729592/3d93/BBkbaRElKE8.jpg IMAGE http://cs408729.vk.me/v408729592/3d9c/zIg_oSSLASA.jpg IMAGE http://cs408729.vk.me/v408729592/3d8a/8BNvzDS5SUo.jpg так оно не сработает по любому ,отправь сам себе письмо посмотри при получение письма сам исходный код и убедись что твой скрипт уже затёртый фильтрами, единственное так PHP highlight Код:
и то после просмотра письма оно не сработает тож ,но потом как на жмёшь кнопку написать новое письмо то должен выйти алерт , сообщение работает с промежутком времени на таймах в своём роде тут ещё события onerror фильтрует ,дальше сам . |
Ну что, кто нить доработал?
Интересно!! |
Топикстартер))) не ты пароль потерял? 6rtmz7fg
на этот форум пасс подошел взято от сюда: http://zismo.biz/forum/20-317714-1 |
Эта так сказать активка уже старая! очень давно помню ее кто-то здесь постил, тогда я ее раскрутил и отдал топикстартеру! Но она очень быстренько подохла! Фильтр тела сообщения доработали а форму так и оставили, поскольку она безобидна при гет и пост запросе, то есть ее даже как пасивку невозможно использовать!
Так что бесполезно даже смотреть в этом направлении! |
люди добрые подскажите имея пассивку на поддомене никак не попасть в почту?!! пассивки на поддоменах бесполезны чтоле
|
Цитата:
Сообщение от nightop люди добрые подскажите имея пассивку на поддомене никак не попасть в почту?!! пассивки на поддоменах бесполезны чтоле В данный момент пасивки/активки на поддоменах бесполезны, так как меил.ру привязывает сессии к: 1. юзер агенту браузера 2. ввел проверку по поддомену auth.mail.ru который выдает куку SSDC с HTTPONLY 3. ввел проверку куки на e.mail.ru - sdc с HTTPONLY P.s. HTTPONLY означает, что даже если у вас будет пасивка на поддоменах e.mail.ru и auth.mail.ru нужные куки для использования емейла вы все равно не получите! |
Цитата:
Сообщение от rox@hak В данный момент пасивки/активки на поддоменах бесполезны, так как меил.ру привязывает сессии к: 1. юзер агенту браузера 2. ввел проверку по поддомену auth.mail.ru который выдает куку SSDC с HTTPONLY 3. ввел проверку куки на e.mail.ru - sdc с HTTPONLY P.s. HTTPONLY означает, что даже если у вас будет пасивка на поддоменах e.mail.ru и auth.mail.ru нужные куки для использования емейла вы все равно не получите! спасибо за столь исчерпывающий ответ! печально конечно( А что скажите про почтовики яндекса рамблера? там можно нормвльно заюзать пассивки? |
Цитата:
Сообщение от nightop спасибо за столь исчерпывающий ответ! печально конечно( А что скажите про почтовики яндекса рамблера? там можно нормвльно заюзать пассивки? На яндексе в том году была не то что пасивка, но и активка в теле сообщения! Яндексоиды немного изучив попытались ее прикрыть, сделав загрузку swf только с доменов яндекса, но умельци быстро нашли редирект и всеравно некоторое время использовали активку! После этого яндекс поставил главной куке параметр httpOnly и тем самым сделал невозможным получить нужную куку! На рамблере уже давно по кукам войти не возможно! |
а пассивку можно использовать для подмены формы авторизации например? свой html в js скрипте..
|
Цитата:
Сообщение от nightop а пассивку можно использовать для подмены формы авторизации например? свой html в js скрипте.. Метод похищения аутентификационных данных с помощью XSS вполне возможен и заключается в возможности переопределения обработчика формы аутентификации вот и всё. пример PHP highlight Код:
|
активка есть на майл.ру 2014 IMAGE http://i6.pixs.ru/storage/7/6/3/mailbmp_4936151_10681763.jpg
,а толку с неё есть? |
Цитата:
Сообщение от MOV_EAX активка есть на майл.ру IMAGE http://i6.pixs.ru/storage/7/6/3/mailbmp_4936151_10681763.jpg ,а толку с неё есть? Именно с активки показанной вами на скрине толку никакого так как это пасивка и работает только в ящике в котором ввели скрипт! |
Цитата:
Сообщение от MOV_EAX активка есть на майл.ру 2014 IMAGE http://i6.pixs.ru/storage/7/6/3/mailbmp_4936151_10681763.jpg ,а толку с неё есть? зря почту замазывал, на вкладках все видать |
Да у того кому это нужно, уже все давно доработанно и все прекрасно работает.. поверьте мне на слова)
|
Всем привет, недавно тоже занимались разбором их XSS
1.Да действительно, нужен юзер агент, но это решаеться снифером 2.проверяли не по разу и не мы одни, нужнs куки только от e#mail#ru 3.В процессе нашли интересный баг, что имея один раз сессию, можно всегда просматривать ящик, даже если в нём нажали на выход. 4.Нашли кучу XSS от сервисов mail Внимание, есть желание и есть возможности разобраться с sdsc от e.mail.ru желающие и имеющие возможность принять участие в коллективном творчестве- велком!! |
| Время: 04:11 |