Pull to refresh

Дыры в безопасности веб-интерфейса mail.ru

Reading time2 min
Views4.1K
Ты, %username%, наверняка доверяешь свою приватную почту гуглу. Но для тех из нас, кто сидит на mail.ru (как, увы, я), это сообщение может сподвигнуть на переезд.

В прошлом году я уже натыкался на проблемы с безопасностью мейл.ру — там в письме присылали хитрую ссылку с выполнением ява-скрипта злоумышленников через редирект на сервис проверки орфографии на серверах mail.ru. С тех пор не проверял — закрыли ли дырку, но в саппорт написал.

Вчера наткнулся на очередную пробему в безопасности вебинтерфейса. Сейчас коллектив мейл.ру активно совершенствует юзабилити, честь им и хвала, но пролезают совсем дурные недоделки.

Мне пришел очередной спам вот этих ребят: h.visaconcord.ru — обычное красочное письмо с рекламой то ли туров, то ли ещё чего.
Вирусов-троянов вроде нет по этому адресу.

Спамеры что-то перемудрили, и включили какой-то активный код в скрипт письма, который интерфейс мейл-ру выполнил, и в итоге ВСЕ ссылки на странице мейл.ру поменялись на ссылки на этот сайт, причем ссылки стали вида h.visaconcord.ru/msglist?204003361&f=2 — т.е. поменялся только домен.

Это письмо быстро само исчезло из ящика, сохранить я его не успел. Что тоже не понятно — движек Mail.ru позволяет себе сам удалять письма из ящика уже после того, как пользователь его увидел и получил.


В связи с этим вопрос, хабровчане — какое нужно железо и ПО, чтобы на своём собственном сервере настроить нормальную почту и послать нах дырявые публичные интерфейсы? Желательно с веб-интерфейсом (получше белки или роундкуба), с антиспамом. Какая нужна железка, будет ли работать быстро на домашнем канале? (30 мегабит).

Надеюсь, этим постом предостерегу и сподвигну на повышение личной безопасности.

UPD. В комментах указали возможную версию: В HTML письме в секции head висит тег base href=«h.visaconcord.ru», который ко всем ссылках без домена (т.е. a href="/some/path.html") прикручивает в начале этот самый домен, который прописан в base href="". Никакого Javascript, а в результате своеобразная XSS уязвимость :)
Tags:
Hubs:
If this publication inspired you and you want to support the author, do not hesitate to click on the button
Total votes 68: ↑48 and ↓20+28
Comments91

Articles