сьогодні у меня зявилася можливість протестувати цей сервіс..

результат тесту: 3 активкні xss і маленька поправка ))

почну з тої самої маленької поправки, яка не є багом, але грає не менш важливу роль:

http://mail.ua/?0.48688674658612896&action=ajax_check_email&email=EMAIL_NAME

змінювавши EMAIL_NAME по списку (наприклад) можна взнати які мейли вільні.
маючи базу логінів, можна організувати провірку, і зібрати базу..
рекомендація: додати провірку referer + який небудь динамічний hash код

активка #1
“Написати” > “Тема” = “>< script>alert(1);< /script>< !–
відіславши повідомлення, просимо користувача глянути в одну із сторінок:

• http://mail.ua/main/?action=preload_unread_messages
• http://mail.ua/main/?action=ajax_message_list&link_id=1&order=desc&sort=rectime&start_from=1&end_on=1&query_id=1

в юзера спрацює ксс. можемо скористатися для “викрадення” куків..

активка #2

http://mail.ua/main/#settings/cover_links

“Мої сторінки” > “Додати лінк”
> “Заголовок” : “bla”
> “Лінк”: “>< script>alert(1);< /script>
зайшовши на:

http://mail.ua/main/?action=settings_tree_branch&branch=cover_links

побачимо ксс.. єдина проблема шо побачимо тільки ми кссШку, інші юзери не побачуть.. треба знайти спосіб де ці дані ше відображаються.. така сама штука і з третьою ксс..

активка #3

http://mail.ua/main/#settings/mail_general

“Загальне” > “Організація:”: “>< script>alert(1);< /script>< !–

http://mail.ua/main/?action=settings_tree_branch&branch=mail_general

–

це ще не все. пізніше ше буде =)