Nabízím specifikaci zranitelnosti emailu na Seznam.cz

sysel2001

16. 1. 2009 07:05:27

Nabízím podrobný popis zranitelnosti, která se nachází ve webovém rozhraní pro přístup k poště na portálu seznam.cz email.cz. Jedná se o Cross-site scripting vektor, pomocí kterého lze do těla mailu propašovat JS. Toho lze využít např. ke krádeži session atd. Vektor je funkční v prohlížečích IE 6.0 IE 7.0 a FF 1.5. Mohu případně dodat i hotový exploit, se kterým je možné do uživatelských schránek pronikat. :andel:

Kontakt: sysel@security-portal.cz

16. 1. 2009 07:05:27

https://webtrh.cz/diskuse/nabizim-specifikaci-zranitelnosti-emailu-na-seznam-cz/#reply211059

Switch

(7 hodnocení)

16. 1. 2009 07:07:30

Odpad. Tohle sem nepatří.

16. 1. 2009 07:07:30

https://webtrh.cz/diskuse/nabizim-specifikaci-zranitelnosti-emailu-na-seznam-cz/#reply211058

sysel2001

16. 1. 2009 07:26:43

Napsal Switch;191065
Odpad. Tohle sem nepatří.

jsi :) vhodnější sekce tu není

16. 1. 2009 07:26:43

https://webtrh.cz/diskuse/nabizim-specifikaci-zranitelnosti-emailu-na-seznam-cz/#reply211057

Switch

(7 hodnocení)

16. 1. 2009 08:18:58

Tady tohle nikomu k ničemu není.Takové věci sem nepatří.

16. 1. 2009 08:18:58

https://webtrh.cz/diskuse/nabizim-specifikaci-zranitelnosti-emailu-na-seznam-cz/#reply211056

Smazany ucet 246

(17 hodnocení)

16. 1. 2009 08:29:59

Napsal sysel2001;191064
Nabízím podrobný popis zranitelnosti, která se nachází ve webovém rozhraní pro přístup k poště na portálu seznam.cz email.cz. Jedná se o Cross-site scripting vektor, pomocí kterého lze do těla mailu propašovat JS. Toho lze využít např. ke krádeži session atd. Vektor je funkční v prohlížečích IE 6.0 IE 7.0 a FF 1.5. Mohu případně dodat i hotový exploit, se kterým je možné do uživatelských schránek pronikat. :andel:
Kontakt: sysel@security-portal.cz

takže ty jsi se dostal do schránky seznamu přes cross-site scripting, hmmm

musím popřemýšlet komu tě prásknout.

pokud to byla tvoje schránka tak asi seznam - nějaký ušlý zisk by se asi našel...

pokud to byla cizí schránka tak police - poštovní tajemství by se asi dalo aplikovat

no a pokud kecáš tak špinit dobré jméno taky něco stojí

jedině kdyby si prodával něco co si nevyzkoušel, tak by ti to prošlo, ale to se dá lehce ověřit.

16. 1. 2009 08:29:59

https://webtrh.cz/diskuse/nabizim-specifikaci-zranitelnosti-emailu-na-seznam-cz/#reply211055

Switch

(7 hodnocení)

16. 1. 2009 08:48:06

Stačí dát echo na Seznam. Chybu opraví během pár hodin a pak to může prodávat třeba na nádraží :D

16. 1. 2009 08:48:06

https://webtrh.cz/diskuse/nabizim-specifikaci-zranitelnosti-emailu-na-seznam-cz/#reply211054

sysel2001

16. 1. 2009 09:27:34

Napsal Switch;191092
Stačí dát echo na Seznam. Chybu opraví během pár hodin a pak to může prodávat třeba na nádraží :D

Nebudu se dohadovat s nějakýma chytrákama jako ty. Kdo má zájem, může se ozvat :) Když nemáš nic lepšího na práci, jdi si diskutovat na xchat.

16. 1. 2009 09:27:34

https://webtrh.cz/diskuse/nabizim-specifikaci-zranitelnosti-emailu-na-seznam-cz/#reply211053

Martin Talavášek

(44 hodnocení)

16. 1. 2009 09:32:58

Retálku, jeden baník prosím ;)

16. 1. 2009 09:32:58

https://webtrh.cz/diskuse/nabizim-specifikaci-zranitelnosti-emailu-na-seznam-cz/#reply211052

Switch

(7 hodnocení)

16. 1. 2009 09:35:16

Napsal sysel2001;191107
Nebudu se dohadovat s nějakýma chytrákama jako ty. Kdo má zájem, může se ozvat :) Když nemáš nic lepšího na práci, jdi si diskutovat na xchat.

Mám na starosti daleko důležitější věci, než chatování na xchatu. Ty jen nechápeš, že to tady na WebTrhu nemá co dělat.

16. 1. 2009 09:35:16

https://webtrh.cz/diskuse/nabizim-specifikaci-zranitelnosti-emailu-na-seznam-cz/#reply211051

sysel2001

16. 1. 2009 09:57:53

Napsal Switch;191110
Mám na starosti daleko důležitější věci, než chatování na xchatu. Ty jen nechápeš, že to tady na WebTrhu nemá co dělat.

O tom je zbytečné se dohadovat. Když se domníváš, že nemá, tak přece můžeš dát vědět zdejším správcům fóra.

Chápu, že taková nabídka působí kontroverzně, ale s tím jsem počítal. Ta nabídka je reálná a tento způsob je jen důsledek jednáni seznamu.

16. 1. 2009 09:57:53

https://webtrh.cz/diskuse/nabizim-specifikaci-zranitelnosti-emailu-na-seznam-cz/#reply211050

oondraa

(7 hodnocení)

16. 1. 2009 10:25:54

Ja proti hackingu vůbec nic nemám a vzhledem k mé hračičkovitosti mi to přijde jako dost dobrá zábava. Ale když už chceš řešit, že na seznamu jsou lamy, tak to částečně někde popiš, natoč, zveřejni. Věř že se to vzhledem k oblíbenosti seznamu nezůstane bez odezvy. Ale třískat na tom peníze je prostě čurákovitost. Už jenom proto, že lidi co se jim někdo díky tomuto bude hrabat v poště za neschopnost seznamu opravdu nemůžou.:thefinger:

Napsal sysel2001;191119
O tom je zbytečné se dohadovat. Když se domníváš, že nemá, tak přece můžeš dát vědět zdejším správcům fóra.

Chápu, že taková nabídka působí kontroverzně, ale s tím jsem počítal. Ta nabídka je reálná a tento způsob je jen důsledek jednáni seznamu.

16. 1. 2009 10:25:54

https://webtrh.cz/diskuse/nabizim-specifikaci-zranitelnosti-emailu-na-seznam-cz/#reply211049

Switch

(7 hodnocení)

16. 1. 2009 10:40:33

Napsal sysel2001;191119
O tom je zbytečné se dohadovat. Když se domníváš, že nemá, tak přece můžeš dát vědět zdejším správcům fóra.

Chápu, že taková nabídka působí kontroverzně, ale s tím jsem počítal. Ta nabídka je reálná a tento způsob je jen důsledek jednáni seznamu.

Zkus si to prodávat někde jinde, kde ti to nějaký blb koupí. Ty to prodáš deseti lidem, Seznam chybu opraví == vyhozené peníze. Prodej to nějakým dalším rádoby hackerům a ne tady, internetovým podnikatelům.

16. 1. 2009 10:40:33

https://webtrh.cz/diskuse/nabizim-specifikaci-zranitelnosti-emailu-na-seznam-cz/#reply211048

drago

(73 hodnocení)

16. 1. 2009 12:07:19

1. špatná sekce, už jsem to přesunul

2. děláš to špatně, pokud by jsi na tom opravdu chtěl získat, tak to celé zdokumentuješ, pošleše info seznamu, počkáš než to dají dohromady. Vybereš si portál, který zpravuje konkurence a napíšeš jim článek, kde to detailně popíšeš a do článku vložíš odkaz na svůj blog/stránky. Zapíšeš se dějin českého internetu jako ten kdo ochránil lidi. Možná když pojmenuješ ten způsob v článku po sobě tak tomu pak budou i v budoucnu říkat.

3. postup, který si zvolil je maximálně neštastný a možná tě v budoucnu bude stát opravdu hodně.

16. 1. 2009 12:07:19

https://webtrh.cz/diskuse/nabizim-specifikaci-zranitelnosti-emailu-na-seznam-cz/#reply211047

Jiri Hysek

(13 hodnocení)

16. 1. 2009 12:21:55

Ano, kupte si skript, nabourejte se do ciziho mejlu, cte jeho postu. Jak vzrusujici! I vy muzete by temi neohrozenymi hackery, jak je znate z televize, chlubit se pred kamarady a balit zensky na sve nadprirozene schopnosti....

Tyhle lamy jsou k smichu, stejne jako ti, kteri se na tom snazi vydelavat. Security-portal se zase jednou vysvihnul. Kdyz chcete byt odbornici na IT security, delejte neco na urovni, ne takovehle ......

16. 1. 2009 12:21:55

https://webtrh.cz/diskuse/nabizim-specifikaci-zranitelnosti-emailu-na-seznam-cz/#reply211046

Martin Schlemmer