Только что нашел cross site scripting баг на Earthlink.Net. Работает он при помощи глупой идеи разработчиков о показе ошибок. Типа текст, который мы задаем при помощи "error=" вставляется в html-код страницы MyAccount Login
Идиотизм, не правда ли? Ну значит, что можно задать любой текст, что в принципи не несет в себе ничего полезного. Но оказывается в этом тесте не фильтруются значки типа <>, </> и выходит, что можно внести в код странички не только текст ошибки, но и html, js и тд
При добавлении к ссылке кода или текста пробелы надо заменять плюсами...
Что с помощью этого можно сделать - думайте сами, я больше ничего подсказывать не буду

Exploit: [ JS Example ] [ HTML Example ]

IMCaster ICQ E-Marketer занимается тем, что в ICQ по определенным критериям ищет людей, а потом выбранной группе можно рассылать сообщения, возможно настроить ответы на определенные вопросы, прогу можно использовать как ICQ автоответчик, но все же большинство будут ей спамить честных граждан
Скачать IMCaster ICQ E-Marketer v8.13.8.6 + Update - установить обязательно )))

Сегодня ко мне в ящик упало письмо от bugtraq@securityfocus.com с темой "Webmails + Internet Explorer can create unwanted javascript execution". Я сразу же заинтересовался его содержанием и, как оказалось не зря
В нем описывается процесс возможного (т.е. никто не гарантирует, что это будет реально на всех вэбмейлах) взлома почтового ящика при использовании javascript'а, входа в почту через вебмейл и браузера Internet Explorer (какая же дырка без него )...
Думаю, что нет смысла описывать процесс здесь, т.к. вы можете все подробно прочитать в письме. Если у вас не очень с английским, то ждите русского перевода новости на SecurityLab.Ru - думаю, это будет уже где-нибудь через несколько часов...
У меня у самого не было еще времени проэксперементировать, но я не думаю, что это будет работать где-нибудь на Yahoo или Hotmail'е, хотя все может быть
Конечно же, все мы понимаем, что для всех посетителей этого сайта баг в первую очередь предоставляет не столько возможность покопаться в чужих письмах, сколько новый способ получить заветные 6 циферок )
Оригинальный текст письма (En) можно прочитать здесь: SecurityFocus : Bugtraq Mailing List

MSI Lab наконец-то выпустили свою русификацию для Trillian Pro 2.0
Скачать можно отсюда: Русификация Trillian Pro v2.0

Также появился еще один патч под названием Yahoo! Patch...
Описание с trillian.net.ru:
A beta version of a patch to fix the recent Yahoo! connectivity issue is now available for Trillian Pro 2.0 users (available on the right hand portion of this page). Please test this patch and let us know if you experience difficulty; this patch may not work for all users. We will issue final patches for 2.0, 1.0 and .74 as soon as we're confident everything is functioning 100%.
Патч забираем отсюда: Trillian Pro 2.0 Yahoo Patch Beta 1 (26.09.2003)

На всякий случай, ссылки на саму программу: Trillian Pro v2.0 + "Дополнение" от TSRh

Сегодня на канале #Asechka @ irc.asechka.ru будет разыграно неcколько 6-зн номеров.
Начало викторины в 20.00 по Московскому времени!

Update! Розыгрыш прошел успешно! Были разыграны номера 1234576, 4006000, 885077, 202027, 467676, 756565, 235328, 809992, 211130!
Кто не выиграл ничего или пропустил конкурс, не грустите, лучше заходите чаще на #asechka, потому что обязательно будет еще много всего интересного

PS: Отдельная благодарность Укусу, d1n'у и Kitt'у за помощь в проведении

Как известно, все программы для проверки мэйлов на существование ошибаются, когда выводят результат о Хотмэйле или МСН. Поэтому приходится это делать вручную, но тут оказывается тоже существуют варианты, кроме перебора логинов при регистрации.
Возможно многие этот способ уже знают, но я все равно напишу. Лично я его узнал еще где-то весной этого года, были мысли даже написать программу для проверки там адресов, но не получилось.
В принципи это тоже как бы проверка вручную, но все равно таким образом она проходит намного быстрей, чем если постоянно менять логин при регистрации.
1. Нужно зайти на страницу смены пароля на .net паспорте: https://memberservices.passport.net/ppsecure/MSRV_ChangePW.srf
2. Далее вводим в форме для авторизации полный адрес, например nin@hotmail.com и пароль, например, qwerty
3. Смотрим результат. Если пишут, что-то типа "Пароль неверный", значит адрес существует. Если пишется, что-то вроде "Вы ввели неверный .NET паспорт" или что-то подобное, значит такого адреса не существует - остается только пойти и зарегистрировать его. Бывают случаи, что после этого ничего не пишется, а просто пускают в панель управления, где можно сменить пароль - это значит, что введенный вами пароль (в данном случае qwerty) подошел
Самая надежная проверка мэйлов - это проверка вручную, хотя это и долго
Для тех, кто не знает: Регистрация MSN.Com и Регистрация Hotmail.Com

Ежедневно в течении недели в этой теме будут раздаваться 6-значные уины!
Это может случиться в любое время - следите
От себя лично выражаю респект за этот поступок crazybatman'у.
Всем удачи!

Update! 26.08.2003: У Алеззандре отключили воду на 3 дня, поэтому раздача временно приостановлена. Не страдать же ему одному...

Сегодня ночью написал статью, в которой содержатся довольно-таки подробные ответы на большое количество вопросов, которые обычно задают новички. Все начиная от "Что такое ICQ?" и заканчивая "Как угнать и удержать номер?".
Возможно я что-то там не объяснил до конца, что-то можно было бы добавить еще. Вобщем, если есть еще что-то непонятное, то спрашивайте там - постараюсь ответить.
Читаем здесь: BiG FaQ!

Задача для особо одаренных! Нужно всего заменить "xx" на одинаковые символы...

~~~~~~~~~~~
uin: 296xx5
password: [nin]
~~~~~~~~~~~
uin: 4x1x03
password: [nin]
~~~~~~~~~~~
uin: 648159
password: [xix] )
~~~~~~~~~~~

Ни дня без апдейта
Новая версия &RQ появилась через день после предыдущей!
BUGFIX: read-automessage was not working anymore
BUGFIX: the exploit was not working for ICQ2GO
BUGFIX: AV caused by a 'contact tip pop up' macro
Скачать &RQ v0.9.4.14