![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
Никуда от них не спрячешься..
"На yandex.ru несколько МИЛЛИОНОВ пользователей. Есть процент, который имеет
слабую память и тупые мозги, чтоб запомнить свой пароль и частенько эти
перцы сталкиваются с проблемой забывания пароля Итак, даже небольшой процент
от более чем милионной толпы владельцев мыльниц - это тоже своеобразная
толпа, которая требует свои пароли. Существуют всякие системы аля "Забыл
пароль" в котором вас спрашивают ответ на секретный вопрос, данные, которые
Вы вводили при регистрации и т.п. Но самое интересное, что этим занимается
не человек, а машина, т.е. обычная программулина !!!! А если есть программа
- есть в ней дыра. Теперь приступим к описанию конкретных действий.
Тут все просто. По адресу pass-word-repair@yandex.ru сидит mail-робот,
который анализирует запросы на восстановление пароля и в зависимости от
этого либо уточняет ваши данные, либо сразу шлет пароль. На сайте есть форма
для заполнения с всевозможными параметрами, которая потом шлется роботу со
специальным Subject'ом. Фишка в том, что если в сабжект впихнуть не один, а
два запроса, то проверятся будет последний ящик, а информация будет выслана
для второго! Так шевелим мозгами... Правильно! Высылаем два запроса: в одном
сообщаем инфу о ящике жертве, во втором инфу о своем (о своем то мы все
знаем ;) )
Итак, мы хотим обломать vasya_pupkin@yandex.ru
Наш ящик hacker@yandex.ru пароль qwerty
Пишем письмо роботу на pass-word-repair@yandex.ru
Subject: login=vasya_pupkin&pass=&answer=;login=hacker&pass=qwerty&answer=
Т.е. первый раз вставляем в тему письма запрос о ящике-жертве -
vasya_pupkin@yandex.ru : login=vasya_pupkin&pass=&answer=
А потом, через точку с запятой второй запрос, с вашими данными, которые
робот проверит и убедится, что они правильные!
login=hacker&pass=qwerty&answer=
Итого : тема сообщения выглядит вот так :
login=vasya_pupkin&pass=&answer=;login=hacker&pass=qwerty&answer=
Все, ждите пасс на ваше мыло!!!"
Саппортов роботами обзывает, понимаешь.. нехорошо.
"На yandex.ru несколько МИЛЛИОНОВ пользователей. Есть процент, который имеет
слабую память и тупые мозги, чтоб запомнить свой пароль и частенько эти
перцы сталкиваются с проблемой забывания пароля Итак, даже небольшой процент
от более чем милионной толпы владельцев мыльниц - это тоже своеобразная
толпа, которая требует свои пароли. Существуют всякие системы аля "Забыл
пароль" в котором вас спрашивают ответ на секретный вопрос, данные, которые
Вы вводили при регистрации и т.п. Но самое интересное, что этим занимается
не человек, а машина, т.е. обычная программулина !!!! А если есть программа
- есть в ней дыра. Теперь приступим к описанию конкретных действий.
Тут все просто. По адресу pass-word-repair@yandex.ru сидит mail-робот,
который анализирует запросы на восстановление пароля и в зависимости от
этого либо уточняет ваши данные, либо сразу шлет пароль. На сайте есть форма
для заполнения с всевозможными параметрами, которая потом шлется роботу со
специальным Subject'ом. Фишка в том, что если в сабжект впихнуть не один, а
два запроса, то проверятся будет последний ящик, а информация будет выслана
для второго! Так шевелим мозгами... Правильно! Высылаем два запроса: в одном
сообщаем инфу о ящике жертве, во втором инфу о своем (о своем то мы все
знаем ;) )
Итак, мы хотим обломать vasya_pupkin@yandex.ru
Наш ящик hacker@yandex.ru пароль qwerty
Пишем письмо роботу на pass-word-repair@yandex.ru
Subject: login=vasya_pupkin&pass=&answer=;login=hacker&pass=qwerty&answer=
Т.е. первый раз вставляем в тему письма запрос о ящике-жертве -
vasya_pupkin@yandex.ru : login=vasya_pupkin&pass=&answer=
А потом, через точку с запятой второй запрос, с вашими данными, которые
робот проверит и убедится, что они правильные!
login=hacker&pass=qwerty&answer=
Итого : тема сообщения выглядит вот так :
login=vasya_pupkin&pass=&answer=;login=hacker&pass=qwerty&answer=
Все, ждите пасс на ваше мыло!!!"
Саппортов роботами обзывает, понимаешь.. нехорошо.
Tags:
no subject
Он же там пишет, что надо для первого ящика пароль указывать! :)))))
no subject
Да, самое смешное, что ящика pass-word-repair нет и не будет :)
no subject