• XSS.stack #1 – первый литературный журнал от юзеров форума

Кто знает, что это за прикол?!

Отслеживать
TanosX

TanosX

HDD-drive
Пользователь
Регистрация
21.06.2023
Сообщения
22
Реакции
5
Гарант сделки
1
Получил письмо на Яндекс, выглядит так:

1.png


Внутри:

2.png


EML файл:

ССЫЛКА

Я в курсе, что такое спуфинг, потому это отпадает) Получается спам-фильтр Яндекса свободно пустил такое письмо в инбокс, так как не знал что с ним делать! Но как это сделано? Может кто в курсе!
 
интересно, спасибо.
тут очевидная уязвимость в почтовом сервере яндекса, что он позволяет указывать пустой заголовок From (точнее, любую строку, не похожую на e-mail, в твоём случае это символ двойной кавычки)
также возможная уязвимость в том, что антиспам не декодит base64 и поэтому не видит в письме ссылку, ссылки обычно повышают спам скор.
также низкий спам скор из-за того, что письмо отправлено с локального сервера (с яндекса же и на яндекс), поэтому там и dkim=pass, и все дела.
 
TanosX сказал(а):
Получил письмо на Яндекс, выглядит так:

Посмотреть вложение 72826

Внутри:

Посмотреть вложение 72827

EML файл:

ССЫЛКА

Я в курсе, что такое спуфинг, потому это отпадает) Получается спам-фильтр Яндекса свободно пустил такое письмо в инбокс, так как не знал что с ним делать! Но как это сделано? Может кто в курсе!
-
Dread Pirate Roberts сказал(а):
интересно, спасибо.
тут очевидная уязвимость в почтовом сервере яндекса, что он позволяет указывать пустой заголовок From (точнее, любую строку, не похожую на e-mail, в твоём случае это символ двойной кавычки)
также возможная уязвимость в том, что антиспам не декодит base64 и поэтому не видит в письме ссылку, ссылки обычно повышают спам скор.
также низкий спам скор из-за того, что письмо отправлено с локального сервера (с яндекса же и на яндекс), поэтому там и dkim=pass, и все дела.
Антиспам яндекса декодит base64 и ссылки видит в таких письмах. Судя по всему номера до ~500 зашли, а дальше в спам. поэтому там и копий (адресатов) во всех письмах от 50 до 100.

Мне кстати предлагали этот оффер. Видимо нашли того кто взял чернуху по ру. там объёмы они просят 1кк сутки, наверно поэтому кто то и решил таким способом слать, а не по классике. Исполнитель 100% здесь или на экспе.
 
Последнее редактирование:
kehor сказал(а):
Мне такое же приходило, причём на несколько ящиков, только № другие (больше чем 447) и ссылка другая (хотя домен тот же esthandler) и у меня в спаме оно везде.

Антиспам яндекса декодит base64 и ссылки видит в таких письмах. Судя по всему номера до ~500 зашли, а дальше в спам. поэтому там и копий (адресатов) во всех письмах от 50 до 100.

Мне кстати предлагали этот оффер. Видимо нашли того кто взял чернуху по ру. там объёмы они просят 1кк сутки, наверно поэтому кто то и решил таким способом слать, а не по классике. Исполнитель 100% здесь или на экспе.
Да и я видел этот оффер, но по РУ ну нет) Тут вопрос как сделали.
 
TanosX сказал(а):
Да и я видел этот оффер, но по РУ ну нет) Тут вопрос как сделали.
Не берусь утверждать конечно. Но смотри:
X-Yandex-Tracker-Env: b2b
X-Yandex-Tracker-Mail-Type: external
X-Yandex-Tracker-Transport: front
Вот сервис. подобие jira.
cloud. yandex. ru/ru/services/tracker

Что твой eml, что те что приходили мне, все отправлены с яндекса на яндекс.
Копать надо в сторону абузы клауд сервисов яндекса.
Если отправитель, вовсе и не отправитель в прямом смысле, а условно "бизнес акк внутри сервиса", то вот тебе и направление и причина отсутствия отправителя. Возможно есть момент с правами на просмотр названия акка. Типа уведомлялку на почты можно отправить, но у адресата нет прав на просмотр айди или названия.
 
kehor сказал(а):
Не берусь утверждать конечно. Но смотри:
X-Yandex-Tracker-Env: b2b
X-Yandex-Tracker-Mail-Type: external
X-Yandex-Tracker-Transport: front
Вот сервис. подобие jira.
cloud. yandex. ru/ru/services/tracker

Что твой eml, что те что приходили мне, все отправлены с яндекса на яндекс.
Копать надо в сторону абузы клауд сервисов яндекса.
Если отправитель, вовсе и не отправитель в прямом смысле, а условно "бизнес акк внутри сервиса", то вот тебе и направление и причина отсутствия отправителя. Возможно есть момент с правами на просмотр названия акка. Типа уведомлялку на почты можно отправить, но у адресата нет прав на просмотр айди или названия.
Благодарю! Буду искать.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх