9 Antworten in diesem Thema

[CyberFlash]

Moiin Moiin ..

Es ist schon ne weile her, da habe ich auf dem Forum "New-Crew.net" ein Thread erstellt, welcher beinhaltet, dass auf secure-mail.biz eine XSS lauert .. Ich Poste hier einfach mal das selbe wie dort. Ich finde es eine wichtige Info, und die Lücke besteht schon ziemlich lange :

23.06.2013, 19:42

Bin soeben auf eine Xss gestossen beim Mail Anbieter "Secure-Mail.biz"
Beim öffnen einer Mail welche im Postfach liegt, wird Code ausgeführt.
Aufmerksam bin ich darauf geworden, als ich alte Mails von mir löschen wollte.
In einer Mail welche ich mir angeschaut habe, hab ich damals einem Betreiber eine Sqli und eine Xss auf seiner Page gemeldet, damit er es selbst testen konnte habe ich im den Code welcher bei der Xss verwendet wurde mit geschickt. Dieser wurde mir nun ausgeführt..
Anders gesagt gebt acht wen Ihr bei Secure-Mail.biz eure Mails liegen habt..

Der Code war folgender :

"><marquee><h1>Xss test</br>

Zudem kann man sich dort den Apache Status angucken )

https://secure-mail.biz/server-status

Original Thread @ New-Crew

Please Login HERE or Register HERE to see this link!

[EREB0S]

Scheint so als wurde beides fixed.

[peppy]

das team von secure-mail legt viel wert drauf ihre lücken schnellst möglich zu finden und zu fixen !
wenn du wieder so ne lücke findest beeile dich

[Schakal]

So eine lücke zu melden, gehört zum guten ton!

[Snipp3r]

Da Secure-Mail ja von perfect privacy übernommen wurde und diese sich was Sicherheit angeht meines Wissens nach noch nie etwas zu schulen kommen ließen glaube ich das solche Lücken mittlerweile schneller erkannt und geschlossen werden. Ich hab früher viel schlechtes von Secure-Mail gehört wie E-Mails kamen nicht an, öftere Downtimes etc. Wenn es so war bin ich zuversichtlich das es nicht mehr vorkommt

Wäre ja echt unvorteilhaft einem zwar Anonymen Anbieter zum E-Mail empfang/Versand zu benutzen wenn man sich nicht sicher sein kann ob man die Antwort überhaupt bekommt.


MfG Snipp3r

Bearbeitet von Snipp3r, 09 April 2014 - 21:49 Uhr.

[bbking]

Nur Trottel benutzen secure-mail.
Unnex hat da vor paar Monaten ne dicke fette XSRF entdeckt.

mfg,
bbking

[CyberFlash]

Nur Trottel benutzen secure-mail.
Unnex hat da vor paar Monaten ne dicke fette XSRF entdeckt.

mfg,
bbking

Was für Argumente

[FalkE]

Nur Trottel benutzen secure-mail.
Unnex hat da vor paar Monaten ne dicke fette XSRF entdeckt.

mfg,
bbking

Bitte erstmal informieren, bevor man mit Fachbegriffen um sich wirft.

Please Login HERE or Register HERE to see this link!

Der einzige Trottel bleibst dann wohl du ...

[burning]

Nur Trottel benutzen secure-mail.
Unnex hat da vor paar Monaten ne dicke fette XSRF entdeckt.

mfg,
bbking

was soll man denn sonst benutzen? bitte achte darauf das der anbieter kein java 7.35 (war das die version?) kein openssl 1.0.2 oder aehnliches verwendet. die sind ja genau so vulnerabel. also kannst du google oder yahoo oder apple direkt vergessen die waren alle vulnerabel. und dann soll mir einer sagen google waeren nicht um ihre sicherheit bemueht.

[bbking]

Lol ich was für ein vertrottelter Thread.
Lasst gut sein und nutzt weiter secure-mail.