loki Posted November 7, 2012 Report Share Posted November 7, 2012 (edited) Inca nu m-am hotarat unde sa public asta, ca mai mult am niste intrebari pentru a dezvolta.Aveam nevoie zilele trecute sa testez un XSS intr-un serviciu de email, xss fiind in numele atasamentului. Dupa cum se stie nu pot scrie <script> deoarece <> nu sunt acceptate in denumire (windows cel putin). Am incercat sa pacalesc si Outlookul (live mail) dar filtreaza.Solutie interesanta:De ceva timp am trecut pe google drive deoarece mi-au mutat acolo tot google docs. Mi-a venit o idee, am uploadat o fotografie pe google drive si interesant ca am descoperit ambele optiuni de rename si email de care aveam nevoie:Am facut testul si in email headers apar frumos urmatoarele (cu un exemplu diferit, in poza am pus si ghilimelele):<html><body><div style="color:#000; background-color:#fff; font-family:times new roman, new york, times, serif;font-size:12pt"><div></div></div></body></html>--1590972032-460777526-1348655816=:62143----1590972032-549761886-1348655816=:62143Content-Type: image/jpeg; name="><script>alert(1)</script>.jpg"Content-Transfer-Encoding: base64Content-Disposition: attachment; filename="><script>alert(1)</script>.jpg"Testat pe un serviciu de mail si il executa (stati linistiti, nu pe yahoo mail).Ieri am gasit un articol despre un atasament similar care s-ar executa pe gmail... eram pe fuga si am pierdut link-ul. Am testat mai tarziu metoda asta acolo dar nu am avut rezultat. Doar o idee de dezvoltare.Acum partea care voiam sa o bag in alt topic: ajutati-ma cu un soft pentru windows care face acelasi lucru: ii introduc datele de SMTP etc, atasez o poza si scriu cum sa o cheme, programul trimite un mail cu atasament si schimba denumirea lui cu cea precizata. Stiu ca sunt metode si nu m-as complica cu google drive. As prefera simplu pentru windows ca momentan nu mai am nici hosturi nici php nici nica. Edited November 7, 2012 by loki Quote Link to comment Share on other sites More sharing options...