Fakemailer od Seznam.cz | # |
| Hezké sváteční odpoledne.
Dlouho jsem zvažoval, zda tento příspěvek postovat do této sekce a nebo do sekce "Seznam BT". Nakonec jsem se rozhodl pro tuto sekce a to proto, že:
1. Možná se o této chybě ví (a není považována za chybu v pravém slova smyslu - resp. je akceptována).
2. Nechce se mi čekat měsic na nějakou odpověď (jak to bývá v případě příspěvku do sekce Seznam BT zvykem...:)
Teď tedy k samotné chybě:
Otevřte si prohlížeč Mozila Firefox a do dvou oken si načtěte domovskou stránku Seznam.cz.
Z prvního okna prohlížeče se připojte do své e-mailové schránky a z druhého okna prohlížeče do své druhé e-mailové schránky...(po odhlašení z první, avšak stále ve druhém okně prohlížeče).
Pro tento účel jsem založil dvě e-mailové schránky a to: pepamail1@seznam.cz a pepamail2@sezanm.cz.
V každé z těchto schránek jsem vytvořil složku a to pro první mail složku s názvem PEPAMAIL1 a pro druhou PEPAMAIL2 (viz. screenshot):
[link]
[link]
Pokud teď z e-mailu pepamail1@seznam.cz pošlu komukoli e-mail, všimněte si, co se stane....
Najednou jsem v e-mailu pepamail2@seznam.cz (což je logické, protože z pepmail1 jsem se odhlásil..), ale co mě udivuje, že v horní části prohlížeče se mi stále ukazuje, že jsem v pepamail1@seznam.cz
(viz.screenshot)
[link]
Možnost zneužití:
Málo reálná, ale přesto možná jako fakemailer resp. někdo si může myslet, že píše ze své schránky, ale ve skutečnosti píše ze schránky jiné (útočníka).
(odpovědět) | _ano_nymous_ | 158.194.145.* | 25.12.2011 15:35 |
|
|
|
re: Fakemailer od Seznam.cz | # |
| Ví se o této chybě? Proč k ní dochází? ....
(odpovědět) | _ano_nymous_ | 158.194.145.* | 26.12.2011 13:21 |
|
|
|
re: Fakemailer od Seznam.cz | # |
| pokud jsem to dobře pochopil, je možné, že jde o uložení v cache ne? Takže to zas takový bug není, pokud to nezkombinuješ s xss, které nenajdeš už tak snadno (odpovědět) | |
|
|
re: Fakemailer od Seznam.cz | # |
| není mi jasné k čemu by jsi potřeboval xxs? celé jsem to pojal jako "fakemailer" - tedy píšeš jakoby z jednoho emailu (pepamail1@seznam.cz), ale ve skutečnosti jde o mail pepamail2@seznam.cz.....
(odpovědět) | _ano_nymous_ | 158.194.145.* | 26.12.2011 15:05 |
|
|
|
re: Fakemailer od Seznam.cz | # |
| ale aby jsi tuhle situaci nastolil u někoho v pc, potřeboval bys ho nějak nasměrovat na ten "fake" mail, nebo myslíš nechat ležet v kavárně notebook s přihlášeným účtem, který se jeví jako jiný - moc dobře nechápu možnost využití samotného tohoto (odpovědět) | |
|
|
re: Fakemailer od Seznam.cz | # |
| 1)
ano...přesně tak jsem to myslel...s tím rozdílem, že by to nebylo v kavárně, ale třeba na PC sdíleném kolegy v práci (škole). apod.
2)
Ale není třeba hned myslet na zneužití. Už samotná existence této chyby vede k tomu, že se mi povedlo nechtěně psát z mailu někoho jiného (právě kolegy v práci....)
(odpovědět) | _ano_nymous_ | 158.194.145.* | 26.12.2011 21:08 |
|
|
|
re: Fakemailer od Seznam.cz | # |
| Mě napadá spíš jiná možnost zneužití:
1) Jsi přihlášen pod svým účtem
2) V jiném panelu si otevřeš stránku útočníka, která tě pomocí CSRF přihlásí pod připraveným účtem
3) Když se pak vrátíš do panelu s mailem a napíšeš někomu zprávu, bude tato zpráva odeslána z účtu úutočníka, aniž by o tom uživatel věděl, a útočník tak bude mít přístup k jejímu obsahu.
I tak je ale zneužití poněkud nejisté. Zřejmě by uživatel neměl k dispozici své kontakty a nevím, jak by to bylo s ostatním osobním nastavením, které by mohlo celý útok prozradit...
----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem. (odpovědět) | |
|
|
re: Fakemailer od Seznam.cz | # |
| krom toho co psal oCuMiNn tak po odeslani emailu se jiz adresa zobrazi spravne a seznam te presmeruje do slozky dorucena posta. pokud jsem spravne pochopil jak to myslis. (odpovědět) | oO | 217.11.227.* | 27.12.2011 17:54 |
|
|
|
re: Fakemailer od Seznam.cz | # |
| Ne. Po odeslání mailu jsi v mailu pepamail2 (ze ktereho se vše odesílá), ale v pravé horní části prohlížeče se ti stále ukazuje, že jsi v pepmail1@seznam.cz....
(odpovědět) | _ano_nymous_ | 158.194.144.* | 27.12.2011 22:45 |
|
|
|