Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Собираюсь получить контроль над ящиком. Нужна инфа. 11.12.01 22:32 Штраф: 20 [amzuk, Shturmfogell]
Автор: Summoner Статус: Незарегистрированный пользователь
Отредактировано 11.12.01 22:33 Количество правок: 1
|
Цель - поменять пароль/секретный ответ на почтовом ящике.
Сервер - yandex.ru
Юзер использует веб интерфайс.
Порывшись в библеотеке форума, я собрал седующие сведения:
- на яндексе не фильтруются обработчики событий, поэтому проблем с выполнением кода быть не должно (не проверял пока).
- механизм смены пароля никак не защищён ??? может я ламер, каким образом восполнить недостающее звено: при изменении пароля/личных данных, требуется ввести старый пароль. Объясните плз.
Любые конструктивные ответы приветсвуются.
Неконструктивные, соответственно, не приветствуются.
Заранее спасибо за помощь.
ПС. Брутфорс не сильно меня устраивает, так как по имеющейся информации пароль довольно длинный (~10).
|
|
Какой урод отмодерировал это сообщение? 12.12.01 03:41
Автор: NiFi... <NiFiGaSebe!> Статус: Member
|
> Порывшись в библеотеке форума, я собрал седующие сведения:
> - на яндексе не фильтруются обработчики событий, поэтому
> проблем с выполнением кода быть не должно.
Дай мне адрес того сообщения, где это сказано...(адрес статьи товарища Комлина указывать не надо, - это старье)
> - механизм смены пароля никак не защищён ??? может я ламер,
> каким образом восполнить недостающее звено: при изменении
> пароля/личных данных, требуется ввести старый пароль.
> Объясните плз.
хммм, наверное никак, так как персональные данные без пароля тоже не изменить...
Однако, на крайняк можно попробывать вот это:
http://www.uinc.ru/articles/09/index.shtml
|
| |
Будем пробовать 12.12.01 04:41
Автор: Summoner Статус: Незарегистрированный пользователь
|
> > Порывшись в библеотеке форума, я собрал седующие
> сведения:
> > - на яндексе не фильтруются обработчики событий,
> поэтому
> > проблем с выполнением кода быть не должно.
> Дай мне адрес того сообщения, где это сказано...(адрес
> статьи товарища Комлина указывать не надо, - это старье)
слова были действительно из этой статьи. понял, ссылаться больше не буду.
> > - механизм смены пароля никак не защищён ??? может я
> ламер,
> > каким образом восполнить недостающее звено: при
> изменении
> > пароля/личных данных, требуется ввести старый пароль.
> > Объясните плз.
> хммм, наверное никак, так как персональные данные без
> пароля тоже не изменить...
> Однако, на крайняк можно попробывать вот это:
Методы мне действительно понравились. Ну что ж, остаётся только всё правильно реализовать и надеятся на относительную глупость "жертвы".
Спасибо.
ПС. Вижу ещё довольно сложное решение - это понять каким образом формируется некий idkey из логина пользователя и дополнительных параметров.
|
| | |
Будем пробовать 12.12.01 08:08
Автор: NiFi... <NiFiGaSebe!> Статус: Member
|
> ПС. Вижу ещё довольно сложное решение - это понять каким
> образом формируется некий idkey из логина пользователя и
> дополнительных параметров.
Ага, только лично меня ломает такими умственными нагрузками из-за какого-то потового ящика заниматься. В общем, ленивый я.
Насчет тегов, фильтрации, итд.
Напиши мне, после успехов. Если успехов не будет то тоже напиши, может подмогу.
mafia_zhivet@hotmail.com
|
| | | |
Будем пробовать 12.12.01 18:43
Автор: Summoner Статус: Незарегистрированный пользователь
|
> Насчет тегов, фильтрации, итд.
> Напиши мне, после успехов. Если успехов не будет то тоже
> напиши, может подмогу.
> mafia_zhivet@hotmail.com
ок, обязательно, только - чувствую - это займёт довольно много времени: опыта как такового нету, а подготовиться к атаке надо конкретно: ошибка есть поражение.
Спасибо за помощь.
|
| | | | |
Будем пробовать 12.12.01 18:58
Автор: amzuk <Kuzma> Статус: Member
|
> > Насчет тегов, фильтрации, итд.
> > Напиши мне, после успехов. Если успехов не будет то
> тоже
> > напиши, может подмогу.
> > mafia_zhivet@hotmail.com
>
> ок, обязательно, только - чувствую - это займёт довольно
> много времени: опыта как такового нету, а подготовиться к
> атаке надо конкретно: ошибка есть поражение.
>
> Спасибо за помощь.
зерегистрирую ящик на том же домене и пробуй
|
| | | | | |
Будем пробовать 12.12.01 19:36
Автор: Summoner Статус: Незарегистрированный пользователь
|
> > > Насчет тегов, фильтрации, итд.
> > > Напиши мне, после успехов. Если успехов не будет
> то
> > тоже
> > > напиши, может подмогу.
> > > mafia_zhivet@hotmail.com
> >
> > ок, обязательно, только - чувствую - это займёт
> довольно
> > много времени: опыта как такового нету, а
> подготовиться к
> > атаке надо конкретно: ошибка есть поражение.
> >
> > Спасибо за помощь.
> зерегистрирую ящик на том же домене и пробуй
спасибо, но "мы и сами с усами" ;)
|
| | | | | | |
да я как-то потом сообразил что ты и сам догадаешься :) 12.12.01 19:52
Автор: amzuk <Kuzma> Статус: Member
|
|
|
|
|
подробно о проекте
Анализ криптографических сетевых...
