loki Posted November 7, 2012 Report Posted November 7, 2012 (edited) Inca nu m-am hotarat unde sa public asta, ca mai mult am niste intrebari pentru a dezvolta.Aveam nevoie zilele trecute sa testez un XSS intr-un serviciu de email, xss fiind in numele atasamentului. Dupa cum se stie nu pot scrie <script> deoarece <> nu sunt acceptate in denumire (windows cel putin). Am incercat sa pacalesc si Outlookul (live mail) dar filtreaza.Solutie interesanta:De ceva timp am trecut pe google drive deoarece mi-au mutat acolo tot google docs. Mi-a venit o idee, am uploadat o fotografie pe google drive si interesant ca am descoperit ambele optiuni de rename si email de care aveam nevoie:Am facut testul si in email headers apar frumos urmatoarele (cu un exemplu diferit, in poza am pus si ghilimelele):<html><body><div style="color:#000; background-color:#fff; font-family:times new roman, new york, times, serif;font-size:12pt"><div></div></div></body></html>--1590972032-460777526-1348655816=:62143----1590972032-549761886-1348655816=:62143Content-Type: image/jpeg; name="><script>alert(1)</script>.jpg"Content-Transfer-Encoding: base64Content-Disposition: attachment; filename="><script>alert(1)</script>.jpg"Testat pe un serviciu de mail si il executa (stati linistiti, nu pe yahoo mail).Ieri am gasit un articol despre un atasament similar care s-ar executa pe gmail... eram pe fuga si am pierdut link-ul. Am testat mai tarziu metoda asta acolo dar nu am avut rezultat. Doar o idee de dezvoltare.Acum partea care voiam sa o bag in alt topic: ajutati-ma cu un soft pentru windows care face acelasi lucru: ii introduc datele de SMTP etc, atasez o poza si scriu cum sa o cheme, programul trimite un mail cu atasament si schimba denumirea lui cu cea precizata. Stiu ca sunt metode si nu m-as complica cu google drive. As prefera simplu pentru windows ca momentan nu mai am nici hosturi nici php nici nica. Edited November 7, 2012 by loki Quote
