Давно прошли те времена, когда нужно было рвать волосы на ягодицах в поисках
новой XSS-уязвимости. А все для чего? Конечно же, чтобы свиснуть очередной
6-значную аську, ретривнуть пасс аккаунта от банка, где лежит "пицот мильеонов"
и следить за интимной перепиской Петровича с Дашенькой. Теперь не нужно особо
напрягаться, Х и его доблестные авторы давно все сделали за тебя. В журнале уже
много раз проскакивали видео про взлом самых популярных почтовиков рунета, и
этот ролик лишь пополнит твою золотую коллекцию :).
В этом видеохаке Digimortal продемонстрирует простой способ угона ящика с
бесплатного почтового сервиса Почта.ру. Как это ни печально, программисты даже
крупных проектов зачастую забывают о банальной фильтрации передаваемых скрипту
параметрах. Отсюда вытекают уязвимости типа xss и sql-inj. Но для угона ящика
нам достаточно даже одной первой. Само собой жертва должна использовать
веб-интерфейс и возможность быстрой аутентификации с
помощью кукисов. Как показывает мой опыт, таких пользователей насчитывается
5-15%, что не так уж и плохо :). Круто Григорий? Отлично, Константин!
