- Apocalipsa dupa Nemessis
- Cand dorinta de afirmare depaseste granitele bunului simt – PaxNwo un leecher ordinar
- Cum sa iti protejezi adresa e-mail si datele confidentiale din aceasta
- Mi s-a furat id-ul de messenger/adresa e-mail. Ce sa fac?
- Experiment social II – andimoisescu.ro
- Pentru posteritate
- In curand…
- “Hot” de id-uri messenger
- Chiar ca sunteti retardati
- Ce nu se invata la scoala – Vendetta (6)
- Apocalipsa dupa Nemessis in (103 Visits)
- Ce servicii de mail folositi? in (42 Visits)
- This is the end in (28 Visits)
- Hackersblog.org is now blog.rstcenter.com in (27 Visits)
- Short news in (22 Visits)
- La multi ani România, la multi ani românilor in (22 Visits)
- Azi este ziua userilor hackersblog.org in (15 Visits)
- Raportare vulnerabilitati in (14 Visits)
- Inca o pierdere de timp in (14 Visits)
- Update in (11 Visits)
- Mi s-a furat id-ul de messenger/adresa e-mail. Ce sa fac? in (313 Visits)
- Hi5.com coders read this in (37 Visits)
- SMS scam (1) in (28 Visits)
- Phishing Bancpost in (12 Visits)
- Dezinformare sau proasta informare? in (11 Visits)
- Si tentativele de phishing pot fi amuzante in (9 Visits)
- Phishing Raiffeisen cu atasament html in (6 Visits)
- Cum sa iti protejezi adresa e-mail si datele confidentiale din aceasta in (96 Visits)
- [Utilitare] Suna gratis de pe internet sau de pe iPhone in (54 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/Hi5 (4) in (49 Visits)
- Despre CSRF, hi5.com, cum sa trisezi la concursuri s.a.m.d. in (42 Visits)
- Ce nu se invata la scoala - (D)DOS (5) in (34 Visits)
- Virusi in clipuri video [how to] in (33 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/mail (2) in (29 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam (1) in (24 Visits)
- Yahoo! redirects - a big issue (with video) in (14 Visits)
- Ca musca in... in (12 Visits)
- usa.kaspersky.com hacked ... full database acces , sql injection in (173 Visits)
- Simpatie.ro, matrimoniale3x.ro, apetisant.ro, deliciu.ro , etc Sql injection in (114 Visits)
- Yahoo! epic fail - permanent xss unleashed in (90 Visits)
- Telegraph.co.uk hacked, sql injection in (66 Visits)
- RedTube.com ... The Free Sex Video Community in (59 Visits)
- Kaspersky Thailand hacked by TinKode in (48 Visits)
- Conquiztador Hacked Again in (48 Visits)
- Telegraph.co.uk hacked - when will they learn? in (43 Visits)
- Simona Sensual si profilul ei de hi5 in (40 Visits)
- F-Secure.com - SQL Injection + Cross Site Scripting in (39 Visits)
- Wannabe Hackers [2] - cum sa faci un virus by sppy_hacker in (33 Visits)
- Wannabe Hackers [1] - Cum sa hack-uiesti RapidShare-ul in (30 Visits)
- Digital Photocopiers Loaded With Secrets in (26 Visits)
- Hacker Uses XSS and Google Street View Data to Determine Physical Location in (16 Visits)
- Oldies but goodies - Freedom Downtime - The Story of Kevin Mitnick in (11 Visits)
- [Video] The History Of Hacking in (9 Visits)
- OWASP Phishing demo in (9 Visits)
- Christopher "moot" Poole: The case for anonymity online in (9 Visits)
- Hope 2603 – Kevin Mitnick - Life a Computer Hacker – Revealed in (8 Visits)
- Owasp5005 Part1 - New zero-day browser exploits - ClickJacking in (8 Visits)
- Se poate sparge parola de Yahoo? in (347 Visits)
- phpBB.ro hacked in (105 Visits)
- Experiment social in (71 Visits)
- Cand dorinta de afirmare depaseste granitele bunului simt - PaxNwo un leecher ordinar in (61 Visits)
- Oare cum e pana la urma? in (57 Visits)
- "Hot" de id-uri messenger in (53 Visits)
- Concurs fara premii in (52 Visits)
- Forumul Andreei Balan spart in (47 Visits)
- Ce nu se invata la scoala – Vendetta (6) in (45 Visits)
- Experiment social II - andimoisescu.ro in (44 Visits)
Posted on January 26th, 2009
O lege nescrisa a webmail-ului este sa nu accepti javascript in mesaje pentru a proteja conturile userilor. In categoria celor care nu stiau acest lucru se afla si cei de la luxmail.ro.
In primele doua minute de teste am crezut ca este un serviciu robust cu filtre anti xss destul de bune. Nu a trebuit insa sa ma chinui prea mult pentru ca am vazut urmatoarea optiune in casuta de compunere a mesajului:
Am crezut ca cineva a avut chef de glume cand a introdus acea optiune dar…
Iar rezultatul este urmatorul:
Acum domnilor de la luxmail.ro ce mai pot sa spun. Good job. Stiti ce pot pati userii dumneavoastra? Se pot pomeni ca cineva le fura cookies si le acceseaza mailul. Sau un mic xss worm il obliga pe user sa trimita un anumit mesaj catre toti cei din lista de contact, lucru ce duce la propagarea problemei voastre. Cand asigurati servicii de mail chiar trebuie sa aveti securitatea foarte bine pusa la punct. Datele confidentiale ale oamenilor sunt in mainile voastre si nu trebuie sa aiba nimeni acces la ele.
Concluzia? Nu folositi acest serviciu. Puteti avea surprize extrem de neplacute.
Sintaxa folosita in demonstratie este <a href=javascript:alert(document.cookie)>Text oarecare</a>. Puteti folosi editorul html din serviciul lor de mail pentru a dezvolta demonstratia.
January 26th, 2009 at 4:15 pm
Ce cookies sa fure ? Nu e pe baza de cookies.
BTW: o adresa de mail pe care putem sa discutam ?
salut
January 26th, 2009 at 4:24 pm
Salut.
La rubrica pages exista o adresa de contact.
August 18th, 2009 at 12:10 pm
Buna..o rugaminte..cum as putea renunta la contul lor de p luxmail.ro?multumesc..
March 19th, 2010 at 10:54 am
nu mai pot accesa adresa mea de mail oare ce s-a intamplat?
December 19th, 2010 at 12:09 pm
Domnilor,nu va lasati influentati de ”anumiti” oameni care fac reclama proasta la site!
Ceea ce a pus acel ”anumit” pe acest topic este o modificare ( facatura ).
Nu credeti pe oricine care va zice ca un ”anumit” site este periculos,prost hostat,etc.
Folositi-va judecata!
Va multumesc si o zi buna!
Echipa Luxmail.ro
December 19th, 2010 at 12:16 pm
!!!ATENTIE!!!
SERVICIUL DE MESAGERIE ”Luxmail.ro” NU MAI ESTE DISPONIBIL!
TOTI CEI CARE AU AVUT CONT PE Luxmail.ro SI-AU PIERDUT TOATE E-mailuri-le SI CONTURILE!
AM AVUT SI EU DEASEMENEA CONT PE Luxmail.ro, DAR L-AM STERS IMEDIAT CE MI-A APARUT EXACT CE I-A APARUT LUI 2fingers!
SLAVA DOMNULUI CA S-A STERS Luxmail.ro! CONTURILE DVS. NU ERAU IN SIGURANTA PE Luxmail.ro, SI ORICINE VA PUTEA COTROBAI PRIN LUCRURI!
VA RECOMAND 2 SERVICII DE E-mail FOARTE CUNOSCUTE!
Yahoo! SAU MSN .
-@Luxmail.ro-
SITE-UL TAU ESTE MORT! NU M-AI PUNE PAIE PE FOC SI TU!