На одном из форумов мо взлому Вммайл...
1 = Хакер
2 = другие пользователи
1:Эта тема- для тех= кто не \ночет читать письма и выполнять задания . Предлагаю свои услуги по взлому аккаунтов-= Я буду выкладывать по 5 аккаунтов в ниделю\= что бы докозать что у меня есть доступ к ковсем логинам -=67 Выкладывать буду только те аккаунты где есть дополнительная - защита. НО уменя есть и пароли для операций каторые я могу вам продать за 10 паролей стоит $50 Решайти сами. А пока проверяйте первые пять логинов
nemecz 1120387
Skalotskiy 07061988
DrVirus aspirine
mzn
Zeleboba joker
Snowlind 112233
web134 327393
faerman azsxdcazsxdc
Кстати посмотреть ихний баланс и рефов можно через эту программуsad.gif* http://www.wmmail.ru/mailkeeper/2300/MailKeeperSetup_2.3.exe
Ну как удовлетворе7н тогда читай дальше оплатив $50 получиш 20 логинов с паролями и паролями для операций.
Снять все деньги можно через систему рефералов КАК? очень просто покупаеш самого8 дешевог9 рефа своим аккау6нтом и продаеш за ту цену сколько будит у логина,!!!11111110кек
2:А сколько стоит отдельный игрок? Дапустим yurawmz или Modjo
1:Отдельный аккаунт стоит $100
2:Ну хорошо Я заплачу тебе. Но сначала взломай мой акаунт
1:Твоя торпеда запущена ?;№ mad.gif
Добавлено в 16.04.2008 - 16:49
Valkos 1181890254........ X78k693Tvz
..... Я надеюсь мне не надо продолжать? Ха! Ха! Ха!
2:я свой пороль уже сменил, чего и вам советую
1:От того что ты сменил пароль ничего не измениться845ь и снимать деньги я не буду не волнуйтесь.......Может наконец админ проснется и залатает свою дарочку пока не .... ну не важно
2:а за сколько бы ты продал админу свой секрет? ну или например мне?
1:вы юзерки89 наверное не врубаитесь- = что отправлять лично пароль я больше не буду. У меня есть пароль от Admin 7 панели :; может вам и его выложить. Суть хакера заключается не втом что4 б взламать и ограбить а втом чтоб0 покозать что да я умею взламывать серваки . Ксати интересует токая ху..ня как PLATI/ru
Дальше - нет смысла
Но вот еще: вы заметили как увеличилось количество серфинга? Читаем дальше...
Настала пора раскрыть карты и выложить все широкой публике
Уязвимость скрывалась (впрочем почему скрывалась? До сих пор скрывается ) в реффссылке вы увидите свои куки. Теперь, собственно, реализация атаки. В серфинге крутим страничку, например www.mybadsite.ru/grab.html содержащую следующий HTML код.
Код
Скрыто
Отсюда мы видим, что в страничку регистрации WMMail инжектируется чужой javascript с другого сайта, с моего то есть. Вот содержание этого файла
Все, одна строчка Скрипт заставляет браузер перейти на скрипт на моем сайте, передав ему в качестве параметра куки жертвы.
Вот код скрипта собирающего куки.
Скрипт берет куки, выдирает из него значимую часть, подготавливает ссылку и записывает готовую ссылку на личные данные в файл. Включаемый файл page.html может быть любой страничкой, например вашей рекламой.
Теперь собственно о получении паролей. Можно конечно открывать по очереди все ссылки в браузере, предварительно выключив в нем поддержку кукисов. Но так как я юзаю линукс, то я сделал все одной строчкой в консоли:
Вот и все. Через несколько минут все странички слиты и можно спокойно начинать выдергивать из них логины и пароли
Думаю это кому нибудь пригодится.
Cейчас конкретно эта ошибка исправлена, но простая подстановка js в страницу регистрации показывает, что:
* Не ставится кука с реферером, который передается в ссылке! В лучшем случае он хранится в сессии, но это однозначно показывает, что рефералы неизбежно будут "теряться".
* Дыра была закрыта на скорую руку и еще вопрос насколько качественно. Вместо жесткого приведения типа и применяется простой htmlspecialchars, т.к. уже прошло не менее недели, то можно считать это показателям качество кода проекта и успешно искать новые дыры. Например, в форме контактов вводимые данные не контролируются на валидность (подобной уязвимости нет)
Мораль сего примера для участников:
* сложные пароли не гарантируют безопасномть аккаунта, из-за ошибок программистов;
* типовые проекты наиболее уязвимы;
* нажимайте кнопку "Выход" - при логауте, удялаются куки и сессии;
* пароли надо регулярно менять;
* администрации WMMail.ru - не есть ни пить, закрывать дыры и неказистую работу скриптов, добавляя валидацию данных по типу и формату;
* всем админам со скриптами CGYP срочно проверять свои проекты :)
Раздел: WMmail.ru - Мой аккаунт, последний комментарий: 14.02.2011 14:06 Тема закрыта автором
И через куки не зайти в ак ПРОВЕРЕННО насчет пароля из кук то еще их расшифровывать очень долго ну если пароль только из цифр то можно но привязку по IP обойти не удалось
Я не знаю какого года форум, мне все-ровно правда это или нет, мое дело хоть как-то показать вам эту ситуацию, это лучше, чем ждать пока тебя взломают, а уже потом...
А на форумах написано что wmmailа уже нет в живых и всех участников взломали
С такими темпами взломов, может и такое быть. Мы ж о многих взломах даже не знаем. Много народу тут не общается. И до нас доходит только маленькая часть инфы о взломах. А в каких масштабах ломают пользователей-даже страшно представить
вероятно этой статье несколько лет, сейчас все это полный бред, могу дать вам свои куки, попробуйте зайти в мой аккаунт
и как интересно обойдете привязку к IP и браузеру?
вероятно этой статье несколько лет, сейчас все это полный бред, могу дать вам свои куки, попробуйте зайти в мой аккаунт
и как интересно обойдете привязку к IP и браузеру?
вероятно этой статье несколько лет, сейчас все это полный бред, могу дать вам свои куки, попробуйте зайти в мой аккаунт
и как интересно обойдете привязку к IP и браузеру?
Я же и писал что обойти пока способов нет! ну может я найду
вероятно этой статье несколько лет, сейчас все это полный бред, могу дать вам свои куки, попробуйте зайти в мой аккаунт
и как интересно обойдете привязку к IP и браузеру?
вероятно этой статье несколько лет, сейчас все это полный бред, могу дать вам свои куки, попробуйте зайти в мой аккаунт
и как интересно обойдете привязку к IP и браузеру?
вероятно этой статье несколько лет, сейчас все это полный бред, могу дать вам свои куки, попробуйте зайти в мой аккаунт
и как интересно обойдете привязку к IP и браузеру?
Куки в архив и сюда: gufaka-zm@yandex.ru
Потом без обид.
Добавлено спустя 45 секунд
Еще одно:
maxsss пишет.
Предлагаю свои услуги по взлому аккаунтов на WMmail.ru. Один аккааунт высылаю бесплатно, чтобы вы могли удостовериться в моей правдивости. О цене договоримся по почте (предварительно 0,5$ за один аккаунт). Снять все деньги можно через систему рефералов КАК? Очень просто, покупаешь самого дешёвого реферала своим аккаунтом и продаешь за ту цену сколько будет у логина ! ! !
Типа купил за 0,1 wmz , а продал за 6 wmz ! ! ! и т.д.
Пишите на почту: qwe-800@mail.ru
ломают кипер, на него восстанавливают пароль и вперед и с песней, но сломав кипер можно сломать любой сайт, где есть восстановление пароля, а не конкретно наш
вероятно этой статье несколько лет, сейчас все это полный бред, могу дать вам свои куки, попробуйте зайти в мой аккаунт
и как интересно обойдете привязку к IP и браузеру?
А как на счет взлома базы данных?
На форуме пишут те кто вообще не знают о хакерстве "база данных" бред АДМИН все сказал
ломают кипер, на него восстанавливают пароль и вперед и с песней, но сломав кипер можно сломать любой сайт, где есть восстановление пароля, а не конкретно наш
Уважаемый, админ, вы-же сами знаете, что любой сайт взломать гораздо легче, чем кипер, разве-что Bank of America.
Уважаемый, админ, вы-же сами знаете, что любой сайт взломать гораздо легче, чем кипер, разве-что Bank of America.
те, кто жаловался на взлом говорили, что у них был взломан кипер, а значит причина именно в нем, а не в дырках на сайте
если стоит дополнительная защита аккаунта, сложный не повторяющийся пароль, и нормальный антивирус, взлома аккаунта можно не бояться
Уважаемый, админ, вы-же сами знаете, что любой сайт взломать гораздо легче, чем кипер, разве-что Bank of America.
те, кто жаловался на взлом говорили, что у них был взломан кипер, а значит причина именно в нем, а не в дырках на сайте
если стоит дополнительная защита аккаунта, сложный не повторяющийся пароль, и нормальный антивирус, взлома аккаунта можно не бояться
У тех, кто писал, стоит Каспер, какой уж лучше + как человек узнает Wmid того, кого он взламывает, если закрыта стена?