شكراً لك أخي Wino ... لي تعقيب على الموضوع فيما بعد مشغول :eek3:
وموضوعك أنتهى أتمنى لك التوفيق
شكراً لك أخي Wino ... لي تعقيب على الموضوع فيما بعد مشغول :eek3:
وموضوعك أنتهى أتمنى لك التوفيق
وينو يعطيك العافيه موضوع شيق
------
البرواز
http://www.net-force.nl/files/articles/hotmail_xss
طيب اهوا فيه طريقة أستخدمها بس هل ( بتعتبرونه حل مؤقت ام لا )
وهو عن طريق المتصفح Internet Explorer
ومن صفحة المتصفح
تختار
Tools >> Internet option >> Privacy >> Advanced
بتظهر نافذه ضع علامة صح على Override automatic cookie hanling
وضع الاختيار Prompt كلا الامرين
وبعدها OK وانتهينا
معليش مأدري إيش ترجمتها بالعربي بالتحديد عشان كذا اعذروني بس شاهدو الصورة بالاسفل ...
طبعاً إلي احنى عملناه هو يظهر لك تنبيه عن دخول اي موقع يطلب فيها الكوكيز والمواقع الموثوقه اعطيها السماح الدائم
ام الروابط المشبوهه التي مثل كذا احطيها حجب دائم من خلال النافذة التي تظهرلك ..
طولت الموضوع وهو قصير
شكرا Wino على فتح الموضوع
__________________
سبحان الله وبحمده & سبحان الله العضيم
اتضح لي الموضوع الآن
الثغرة إكتشفت في تاريخ 4 يونيو عام 2005 ، و تم حلها في تاريخ 5 يونيو عام 2005 ، اي بعد يوم واحد من اكتشافها ..
أقول يا ربي هوتميل مستحيل تترك ثغرة تنتشر لهذي الدرجة ... كان عندي احساس ان الموضوع مجرد اشاعة
شكرا للجميع ..
السلام عليكم ...
موضوع اكثر من رائـــــع اخي ابراهيم ... احب انبه الأخوان على موضوع مهــــم جداً
هو انه بعض الاخوة يتلقون رسالة فيها رابط مثلاً من شخص مجهول ... ويعتقدون انه المشكلة في الضغط على الرابط فقط .. اي انها من الرسالة .. لكن المشكلة الأساسية من الموقع الي انت تدخله ... وهي انه يحط iframe خفي ويحط الرابط او الهدف للفريم ... يحط رابط الثغرة على الهوت ميل .. واعتقد باقي الرابط الاخوة يعرفونه ...
اخوكم ..
اخوي ابراهيم لي لقاء بك على المسنجر ان شاء الله
مبروك الثغره ترقعت
مشكور اخوي على الموضوع ومالي تعقيب على كلامك
والي يبي الاستزاده في هالموضوع ماظن فيه مكان افضل من قوقل
"cross site scripting" واقرا براحتك
بالنسبه للحمايه الامثل :
احد الاشتراطات الرئيسيه في الثغره انها تشتغل هو يكون السيشن ماانتهت مدته يعني لو مسوي تسجيل خروج من الهوتميل بعد ماشفت الانبوكس بعدين فتحت الوصله ماراح تشتغل تأكد في الخيارات الخاصه بالايميل ان الايميل مخلي فيه مده السيشن لاتزيد عن نصف ساعه من مده الخروج
ثانيا انا من مستخدمي الفايرفوكس وهذا addon اسمه blocksite
https://addons.mozilla.org/firefox/3145/
ضفت له
http://newsletters.msn.com
وخلاص انحلت المسئله
آمل ان اكون افدت البعض بما قلت
هذا ولله اعلم
تحياتي
ايضا هنا ثغرة XSS
كود:http://mobile.arabia.msn.com/en/download.php?f=c_24&a=msn_arabia&type=24&id=4234&son_nom="><Script>alert(1);</script>اضيفو الموقع لقائمة blacklistكود:http://msn.careerbuilder.com/Custom/MSN/CareerAdvice/Default.aspx?siteid=CBMSN1009&sc_extcmp=JS_MSN_CarAdvice&cbRecursionCnt="><script>alert(1);</script>
__________________
المهم فيما تراه هو ما تتطلع إليه
حمل ملفاتك لغاية 5 ميجا مع الاعصار العربي
نستضيف موقعك على سيرفرات قوية و محمية على اعلى المستويات
www.3sar.com
السلام عليكم ورحمة الله وبركاته
موضوع جميل لكن ما جاب لنا الحل
أخي الفاضل الثغرة قبل اسبوعين ونصف تقريباً تعمل كيف تقول عام 2005 وانا مجربها واعرف احد الاصدقاء أيضا جربها وايضا اسأل الي انسرقت ايميلاتهم يعلمونكالمشاركة الأصلية كتبت بواسطة البرواز
.
..
...
PHP4PRO
أخي php4pro .. راجع الرابط التالي :
http://www.net-force.nl/files/articles/hotmail_xss
تحياتي
مع إحترامي الشديد لك، للأسف الإشاعة حقيقيةالمشاركة الأصلية كتبت بواسطة البرواز
للتأكد من ذالك قم بدخول بريدك الخاص بالهوتميل و بعدها أنقر على هذا الرابط التجريبي، وبما أنك قرأت عن الثغرة http://www.net-force.nl/files/articles/hotmail_xss
فإنك ستفهم جيدا معنى ان تدخل على رابط فتظهر لك نافذة تحذير بها الكوكيز الخاص بك
رابط تجريبي ليس منه اي خوف
معناه انه يمكن ان ينزع منك الكوكيز ويرسل عن طريق تقنية أجاكس دون ان علم الزبون
php4pro : الحل أخي من عندهم لكن فرأت أن الكاسبيرسكي يتعرف على هذه الروابط ويقوم بإظهار نافذة تحذيرية
e3sarcom: شكرا على الرابطين المهمين، شكل ال msn كله ألغام
almosmm: للأسف كما قلت هو مرض لأن إستراتيجية البرمجة ناقصة يعني يجب أن يقومو بترقية كلية لل msn
alwoolf: مبروك رأيت هذا لكن فقط في جهتين الثغرات مازالت منتشرة يمكنك التأكد من خلال الرابط التجريبي الذي وضعت في ردي على اخي البرواز
almosmm: ليست مسألة فريم فقط الآن مع تقنية أجاكس تكون العملية أسهل و أخف للأسف
ATmax: أكيد حل يدوي مؤقت، لكل من خاف من روابط اللغم
Professional: شكرا على الرابط، في المقال ان الثغرة سدت سنة 2005 للأسف منتشرة الآن في عدة امكنة
Fox Mind: فيما بعد ان شاء الله
العندليب: غير هذين الرابطين
http://newsletters.msn.com
http://calendar.msn.com
أضف
http://mobile.arabia.msn.com
http://msn.careerbuilder.com
اوأحسن حل بلوك
www.msn.com
jadweb.com: شكرا لك
aldosari: ثم التصحيح شكرا لك
الفنان: أمين يا رب
شكرا لكم إخوتي على تفاعلكم وتعقيبكم بارك الله فيكم جميعا
ننتظر باقي المداخلات
و السلام عليكم
مشكووور أخوي على الموضوع الرائع ..
والي اسطيع ان احمي نفسي من أطفال النت ..
الله يحمينا من شرهم ..
أخوك / Quite
السلام عليكم
جربت ان يكشفها الكاسبر سكاي ولم يفعل شئ
والله الثقه راح تنعدم مع الهوت ميل
شكراً وينو
تحياتي
نعود من جديد
اذا ذكرت بعض الحلول في موضوع سابق لعله تفيد الاخوان
http://www.swalif.net/softs/showpost...6&postcount=12
http://www.swalif.net/softs/showpost...9&postcount=15
http://www.swalif.net/softs/showpost...7&postcount=57
لعلها تفيد قليلاً
الاخ Wino
حتى الكاسبر مشت عليه لان القضية ليست كود مشبوه او فيه مشكلة كل القضية document.cookie وانت ماشي يعني سرقة كوكيز على خفيف الا اذا كان فيه قائمة من نفس الشركة بعد ما علمت بالثغرة بس ما أظن
بارك الله فيكم
__________________
شبكة البيت للتصميمات وبرمجة الاسكربتات الخاصة
http://www.Elbayt.NeT
الزواج - العقارات -الاخبار- مجلات خاصة - نيوك - منتديات - قروبات - مستعمل - الجوال - الوظائف - واى من الاسكربتات الخاصة