Современные бесплатные почтовые службы очень удобные — антиспам, проверка орфографии, контакты, и прочие плюшки, и многие повседневно используют их для работы, регистрации на сайтах, для различного рода уведомлений и личной переписки. Довелось протестировать безопасность некоторых из них, или по крайней мере постараться.
Как и любому исследователю вэб безопасности, мне тоже стало интересно, а какой почтовик лучше? Итак, были протестированы следующие службы.
1. mail.ru
Самая крупная почтовая служба.
2. mail.yandex.ru
Довольно популярная почта от крупнейшего
российского поисковика.
3. gmail.com
Почта от Google
4. mail.rambler.ru
Рамблеровская почта.
5. nextmail.ru
Попсовый почтовик.
Итак, об очень крупных уязвимостях речи и не шло, поэтому проверка состояла из возможности на кражи cookie, путём непосредственной html инъекции (через xss).
Рейтинг уязвимых почтовиков
Рейтинг начинается от самого уязвимого почтового сервиса, и получился он такой:
- mail.ru
- nextmail.ru
- mail.rambler.ru
- mail.yandex.ru и
- gmail.com
Теперь подробнее. Как самый крупный и самый посещаемый почтовик рунета @mail.ru не отличился и безопасностью, с одной стороны понимаешь, ресурс крупный, за всем не уследить, но могли же нанять специалистов, и не мучать отдел поддержки с вопросами, почему вновь украли аккаунт. На страницах данного почтового сервиса были найдены активные, и пассивные xss. Ребята трудятся, и иногда закрывают их, но за последнее время было найдено более десятка кодов, которые позволяют внедрить скрипт в тело самого письма. Первое место среди уязвимых почтовиков.
Nextmail.ru — почта нового поколения! Интересно создание ящика на таких доменах как *@xaker.ru, *@programist.ru, *@dezigner.ru и прочих. Все бы замечательно, если бы не те же дырки. Активная xss в теле письма сводит на нет все бонусы пользования системой. Разве что пассивных xss мной не обнаружено. Возможно, это дело времени. Второе место.
Третье и четвортое место rambler и yandex соответственно, из за количества найденых xss (Между слов. И всё же это критические уязвимости. Многие думают, что сделав привязку cookie к ip, злоумышленнику закрыт доступ? Смысл xss не в краже cookie, а во внедрении своего кода, что прекрасно демонстрирует эта статья).
Ну и мои позравления gmail.com — первое место. Я считаю, что данный сервис наиболее безопасен из вышеперечисленных.
Ещё раз подчеркну, что это моё независимое мнение.
Рекомендации.
Как Вы видите, наличие длинного и сложного пароля не спасёт почту от взлома. Лучше использовать клиент электронной почты (такие как the Bat!, Mozilla Thunderbird, etc).
Все найденные уязвимости будут благополучно отправлены администрации для их устранения.
Статья наверно не твоя,но хотелось бы узнать о этих самых активных xss в открытом виде,ну можно прислать на электронку=)
ps извините за наглость.
Комментарий наверно не твой, а вот статься моя, и всё что здесь написано моё. Некоторые xss ещё работают, не хотелось бы, чтоб опять началось барышничество.
Пользуюсь почтовым клиентом The Bat! уже почти 10 лет и действительно проблем со взломом не было, хотя пароли первых ящиков не так сложны. Единствоенное что смущает, это то что резервная копия стала занимать уже по нескольку гигабайтов!
Насчет mail.ru согласен — действительно самый уязвимый сервис. Это касается не только XSS, но и возможностей для брута, подбора ответов на секр. вопрос. Да и вообще сервисы mail.ru какие то убогие, единственное что мне у них нравится это Ответы и Вопросы.
Честно говоря,я сам знаю одну Активныую XSS в теле письма на NEXTmaiil.ru
если кому нужно могу продать.Нашел сам.
Дай разработчикам, может получишь печеньку в подарок)
Я пробовал связываться, но всё идет через саппорт, хотел пообщаться с разработчиком лично)
я тоже пытался связаться глухо.
В наличии 3 активки одну бесполезную выложил.
Ну вот например _http://forum.xakepok.su/showthread.php?t=2569
Скрин _http://saveimg.ru/show-image.php?id=24118b1a5942c4acea99e02c7f21c8dc
Респект 😉
Обнови статью,уже не то.
На gmail.com найдена Xss в поддомене.
На mail.ru многие xss прикрыли