Дырка заключается в том, что в имени пользователя при регистрации можно вставлять теги и ссылки, написал в саппорт, лёг спать проснулся никакой реакции проверил ещё раз всё тоже самое, написал ещё раз опять так же! Походу горе Саппорту пофиг на простых пользователей, поэтому я решил донести это через форум до пользователей и хацкеров, которые могут попользовать в целях собственного обогащения для рассылки спама или заражения хостов для ДДОС атак данную дырку!
Вот собственно картинки как это работает:
1) Регистрация, ввожу имя своего сайта http://hp-webos.ru/
2) На форме получил неактивный линк, но всё же линк
3) Самое интересное, на почту пришёл то активный линк
Тобишь раз линк пришёл активный туда можно поставить сайт заражающий хосты, порно или что душе угодно, и обычный пользователь откроет почту, а там обычное письмо которое ни в одной почте по дефолту в спам не уходит!
Я считаю, что серъёзная дырка в безопасности, потому будьте аккуратны!
Вот фотки писем саппорту:
Вот так вот, я разочарован в их службе поддержки и как обиженный юзер выкладываю вам на суд!
Спустя 7 часов, 47 минут, 10 секунд (31.03.2011 - 21:08) Sopromatenot написал(а):
Что такое Спрашиай.ру? Почему нас должно это волновать?
Тексты письма который ты строчил в ТП больше бохожи на писанину неграмотной школоты.
PS: ты сам то понял что нашёл?
Как эта, не побаюсь этого слова, "дыра" угрожает пользователям?
Тексты письма который ты строчил в ТП больше бохожи на писанину неграмотной школоты.
PS: ты сам то понял что нашёл?
Как эта, не побаюсь этого слова, "дыра" угрожает пользователям?
| Цитата |
| для рассылки спама или заражения хостов для ДДОС атак |
??
Спустя 28 минут, 37 секунд (31.03.2011 - 21:36) alex12060 написал(а):
Теги вставлять? Покажи, докажи. не верю.
Вообще, для удобства, майл и гмайл подсвечивают ссылки в удобный для них вид, чтобы не копировать, вставлять и бла бла бла, а просто, нажал и ты там.
Так что, не наводи панику)
Вообще, для удобства, майл и гмайл подсвечивают ссылки в удобный для них вид, чтобы не копировать, вставлять и бла бла бла, а просто, нажал и ты там.
Так что, не наводи панику)
Спустя 50 минут, 31 секунда (31.03.2011 - 22:27) denizkin написал(а):
| Цитата (Sopromatenot @ 31.03.2011 - 18:08) | ||
| Что такое Спрашиай.ру? Почему нас должно это волновать? Тексты письма который ты строчил в ТП больше бохожи на писанину неграмотной школоты. PS: ты сам то понял что нашёл? Как эта, не побаюсь этого слова, "дыра" угрожает пользователям?
?? |
Конечно понял! Либо у вас нет воображения, либо вы тупо не хотите им пользоваться!
В имя пользователя вставляем адрес нашего хоста в котором у нас боевые скрипты или что либо, в ник любую абракадабру, а в мейл натыренные мейлы надеюсь ненадо рассказывать где можно взять мейлы кому поспамить!
Врубаем скрипты который так регает хоть миллион человек, на мейл зареганного приходит письмо которое по дефолту не стоит в спаме, 60 процентов пользователей откроют просто это письмо и сразу же нажмут эту ссылку которая идёт самой первой в письме, т.к. это должно быть имя! А любой мейл её уже подсвечивает!
Теперь вы мне щас скажите, та это бред проблемы нет, ну ну!
Спустя 2 минуты, 55 секунд (31.03.2011 - 22:30) alex12060 написал(а):
denizkin
Я тебе поверю, когда увижу в заголовке не
<b>test</b>
а
test
Я тебе поверю, когда увижу в заголовке не
<b>test</b>
а
test
Спустя 2 минуты, 49 секунд (31.03.2011 - 22:33) Sopromatenot написал(а):
| Цитата |
| В имя пользователя вставляем адрес нашего хоста в котором у нас боевые скрипты или что либо |
Какие боевые скрипты?
Тебе уже написали, что ссылку подсветил сам Меил. С такимже успехом ты можешь напрямую без этого сайта отослать письмо. Также подсветит. Ну а если юзер дурак что будет "нажмут эту ссылку которая идёт самой первой в письме", то можно всё делать гораздо проще.
Спустя 15 минут, 8 секунд (31.03.2011 - 22:48) denizkin написал(а):
| Цитата (Sopromatenot @ 31.03.2011 - 19:33) | ||
Какие боевые скрипты? Тебе уже написали, что ссылку подсветил сам Меил. С такимже успехом ты можешь напрямую без этого сайта отослать письмо. Также подсветит. Ну а если юзер дурак что будет "нажмут эту ссылку которая идёт самой первой в письме", то можно всё делать гораздо проще. |
Боевые скрипты у нас на сайте будут)) Чего не понятного!
Если ты сам будешь спамить у меня все мейл клиенты на автомате в спам сразу закидывают, а спрашивай ру не попадает в спам, о том и речь!
Вы заголовки читаете или что? В заголовке написана СПАМ МАШИНА!
Да и походу саппорт взялся за проблему регался ща 2 раза, на почту вообще письмо тупо не приходит!
Спустя 38 минут, 28 секунд (31.03.2011 - 23:26) Админ написал(а):
Зря тему про идиотские топы убрали.
Спустя 15 часов, 10 минут, 17 секунд (1.04.2011 - 14:37) killer8080 написал(а):
denizkin
А в чём заключается уязвимость?
То что в логине будет УРЛ, это ещё не уязвимость. Если XSS провести нельзя, то проблем я тут вообще не вижу. Каким образом можно спамить?
А в чём заключается уязвимость?
То что в логине будет УРЛ, это ещё не уязвимость. Если XSS провести нельзя, то проблем я тут вообще не вижу. Каким образом можно спамить?
Спустя 7 часов, 55 минут, 18 секунд (1.04.2011 - 22:32) denizkin написал(а):
| Цитата (killer8080 @ 1.04.2011 - 11:37) |
| denizkin А в чём заключается уязвимость? То что в логине будет УРЛ, это ещё не уязвимость. Если XSS провести нельзя, то проблем я тут вообще не вижу. Каким образом можно спамить? |
Включи фантазию! Я уже устал объяснять!
Спустя 1 час, 33 минуты, 17 секунд (2.04.2011 - 00:05) Snus написал(а):
denizkin
У тебя очень слабое представление о взломах через веб-морды. Больше мне нечего тебе добавить
У тебя очень слабое представление о взломах через веб-морды. Больше мне нечего тебе добавить
_____________
dgurianov.ru / hp-webos.ru