написал 1 год назад
Эта запись написана автором , 27 Май 2011 в 20:49, и размещена в категории . Следите за ответами на эту запись с помощью . Вы можете или на своем сайте.
Все найденные уязвимости будут благополучно отправлены администрации для их устранения.
Как Вы видите, наличие длинного и сложного пароля не спасёт почту от взлома. Лучше использовать клиент электронной почты (такие как the Bat!, Mozilla Thunderbird, etc).
Ещё раз подчеркну, что это моё независимое мнение.
Ну и мои позравления gmail.com — первое место. Я считаю, что данный сервис наиболее безопасен из вышеперечисленных.
Третье и четвортое место rambler и yandex соответственно, из за количества найденых xss (Между слов. И всё же это критические уязвимости. Многие думают, что сделав привязку cookie к ip, злоумышленнику закрыт доступ? Смысл xss не в краже cookie, а во внедрении своего кода, что прекрасно демонстрирует ).
Nextmail.ru — почта нового поколения! Интересно создание ящика на таких доменах как *@xaker.ru, *@programist.ru, *@dezigner.ru и прочих. Все бы замечательно, если бы не те же дырки. Активная xss в теле письма сводит на нет все бонусы пользования системой. Разве что пассивных xss мной не обнаружено. Возможно, это дело времени. Второе место.
Теперь подробнее. Как самый крупный и самый посещаемый почтовик рунета @mail.ru не отличился и безопасностью, с одной стороны понимаешь, ресурс крупный, за всем не уследить, но могли же нанять специалистов, и не мучать отдел поддержки с вопросами, почему вновь украли аккаунт. На страницах данного почтового сервиса были найдены активные, и пассивные xss. Ребята трудятся, и иногда закрывают их, но за последнее время было найдено более десятка кодов, которые позволяют внедрить скрипт в тело самого письма. Первое место среди уязвимых почтовиков.
Рейтинг начинается от самого уязвимого почтового сервиса, и получился он такой:
Рейтинг уязвимых почтовиков
Итак, об очень крупных уязвимостях речи и не шло, поэтому проверка состояла из возможности на кражи cookie, путём непосредственной html инъекции (через xss).
Попсовый почтовик.
Рамблеровская почта.
Довольно популярная почта от крупнейшего российского поисковика.
Самая крупная почтовая служба.
Как и любому исследователю вэб безопасности, мне тоже стало интересно, а какой почтовик лучше? Итак, были протестированы следующие службы.
Современные бесплатные почтовые службы очень удобные — антиспам, проверка орфографии, контакты, и прочие плюшки, и многие повседневно используют их для работы, регистрации на сайтах, для различного рода уведомлений и личной переписки. Довелось протестировать безопасность некоторых из них, или по крайней мере постараться.
Уязвимости почтовых служб. Анализ на xss
Взрывной блог » Уязвимости почтовых служб. Анализ на xss
Комментариев нет:
Отправить комментарий