ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости > Skype, IRC, ICQ, Jabber и другие IM Глупые ошибки ICQ 2. Продолжение банкета.

   

Страница 1 из 2 1 2 >

Опции темы

Поиск в этой теме

Опции просмотра

#1   23.05.2013, 00:26 alkos Участник форума Регистрация: 28.03.2007 Сообщений: 252 С нами: 10063867 Репутация: 63 Итак, майские праздники позади и администрация ICQ всерьез продолжила заниматься прикрытием багов в своем сервисе, что не может не радовать. Так в понедельник 13 мая был пофиксен еще один способ менять пароли на шестизнаках. А уже через два дня был закрыт доступ в админку сервиса lifestream.icq.com! Именно о последней "баге" собственно и пойдет речь. Доступ в админку был поистине смешным: http://lstreamfeweb.evip.icq.com/admin. В других случаях доступ ограничен паролем и ip-авторизацией, но тут почему-то отсутствовало и то и другое. Любой желающий мог пройти по ссылке и посетить админскую панель управления. Сама панель содержала обильное количество функций для управления в первую очередь лайфстримом, каналами пользователей, привязками к youtube, twitter, facebook и т.д. Сразу хочется отметить, что доступа к критической информации, будь то пароли, электронные адреса для авторизации и привязанные номера телефонов, в панели не содержалось. Отдельно стоит упомянуть функцию "View graph cache in memcached", которая позволяла посмотреть кэш контакт-листа от любого ICQ-уина или аккаунта AIM. Кэш судя по всему обновлялся и чистился редко, поэтому обычно он содержал 70-95% от всего контакт-листа. Другая функция "View accountinfo stored in memcached" позволяла посмотреть привязанные к уины аккаунты гугл, твиттер и фэйсбук. Остальные функции можно посмотреть в скриншотах. Из самых интересных это пожалуй "Delete User" и "Bind Account" . Также можно было управлять сервисами, подключенными к каналам пользователей в лайфстрим и представленными на карте локациями отдельных структур и аффилированных организаций. З.Ы. Как долго бага была точно не известно, но по моим данным это длилось более чем 1.5 месяца. З.Ы.Ы. Аналогичной админки в лайфстриме на серверах AOL не обнаружено. 𝕏 Twitter Reddit Telegram Копировать ссылку   alkos Посмотреть профиль Репутация Отправить личное сообщение для alkos Посетить домашнюю страницу alkos Найти все сообщения от alkos Добавить в друзья   #2   16.06.2013, 09:32 Химик20 Новичок Регистрация: 10.06.2013 Сообщений: 0 С нами: 6802166 Репутация: 0 да че с аськой творится   Химик20 Посмотреть профиль Репутация Найти все сообщения от Химик20 Добавить в друзья   #3   08.06.2014, 19:27 alkos Участник форума Регистрация: 28.03.2007 Сообщений: 252 С нами: 10063867 Репутация: 63 Оживляем тему! Пару недель назад админка (http://lstreamfeweb.evip.icq.com/admin) вдруг вновь ожила! И админы опять накосячили - доступ в админку не фильтровался! Вооружившись сорсами своего брута ALICE, за вечер мной был написан многопоточный граббер контакт-листов от ICQ-уинов (ICQ CL GET). Примерно за неделю удалось собрать базу ~100 млн. аккаунтов! Затем бага была закрыта.   alkos Посмотреть профиль Репутация Отправить личное сообщение для alkos Посетить домашнюю страницу alkos Найти все сообщения от alkos Добавить в друзья   #4   08.06.2014, 20:01 Alexandr II Постоянный Регистрация: 28.12.2007 Сообщений: 804 С нами: 9668486 Репутация: 1400 Цитата: Сообщение от alkos   Примерно за неделю удалось собрать базу ~100 млн. аккаунтов! Затем бага была закрыта. не понял, ты собрал базу номеров или номера с паролями?   Alexandr II Посмотреть профиль Репутация Отправить личное сообщение для Alexandr II Посетить домашнюю страницу Alexandr II Найти все сообщения от Alexandr II Добавить в друзья   #5   08.06.2014, 20:14 alkos Участник форума Регистрация: 28.03.2007 Сообщений: 252 С нами: 10063867 Репутация: 63 Цитата: Сообщение от Alexandr II   Alexandr II said: не понял, ты собрал базу номеров или номера с паролями? Админка позволяла только контакты просматривать. Поэтому собрал базу контакт-листов различных уинов.   alkos Посмотреть профиль Репутация Отправить личное сообщение для alkos Посетить домашнюю страницу alkos Найти все сообщения от alkos Добавить в друзья   #6   08.06.2014, 21:21 Alexandr II Постоянный Регистрация: 28.12.2007 Сообщений: 804 С нами: 9668486 Репутация: 1400 Цитата: Сообщение от alkos   Админка позволяла только контакты просматривать. Поэтому собрал базу контакт-листов различных уинов. ну теперь либо брут либо спам   Alexandr II Посмотреть профиль Репутация Отправить личное сообщение для Alexandr II Посетить домашнюю страницу Alexandr II Найти все сообщения от Alexandr II Добавить в друзья   #7   09.06.2014, 02:15 makag Новичок Регистрация: 27.09.2009 Сообщений: 3 С нами: 8747704 Репутация: 0 а я то думаю, чего это последние дней 10 спам валит в асю. теперь все понятно -)   makag Посмотреть профиль Репутация Отправить личное сообщение для makag Найти все сообщения от makag Добавить в друзья   #8   11.06.2014, 17:03 kerchi Новичок Регистрация: 11.05.2013 Сообщений: 6 С нами: 6845366 Репутация: 3 зачем мне, несколько миллионов, мёртвых номеров. - только время тратить. собирай лучше живых пользователей.   kerchi Посмотреть профиль Репутация Найти все сообщения от kerchi Добавить в друзья   #9   11.06.2014, 23:32 mailbrush Познавший АНТИЧАТ Регистрация: 24.06.2008 Сообщений: 1,996 С нами: 9410786 Репутация: 2731 В нескольких миллионах номеров, собранных с КЛ пользователей будет гораздо больший процент живых, чем в нескольких миллионах, сгенеренных рандомно или по диапазону.   mailbrush Посмотреть профиль Репутация Отправить личное сообщение для mailbrush Найти все сообщения от mailbrush Добавить в друзья   #10   12.06.2014, 00:06 alkos Участник форума Регистрация: 28.03.2007 Сообщений: 252 С нами: 10063867 Репутация: 63 Цитата: Сообщение от kerchi   зачем мне, несколько миллионов, мёртвых номеров. - только время тратить. собирай лучше живых пользователей. В первую очередь собиралась база элитки, коротких уинов и свежерегов. Если там будет хотя бы 1% живых контактов, то это уже ~1 млн. пользователей.   alkos Посмотреть профиль Репутация Отправить личное сообщение для alkos Посетить домашнюю страницу alkos Найти все сообщения от alkos Добавить в друзья

Страница 1 из 2 1 2 >

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход Мой кабинет Личные сообщения Подписки Кто на форуме Поиск по форуму Главная страница форума ИНФО     Мировые новости. Обсуждения.     Статьи         Избранное РАЗРАБОТКА     Ваши проекты     SЕО - тонкости, методы раскрутки         Услуги, Покупка и Продажа в SEO     Хостинги - Hostings         Хостинг, Dedicated, VDS, Сервера - покупка, продажа     Для Администратора         Apple: Mac, OS X, iOS         AntiDDos - АнтиДДОС         Windows         Linux, Freebsd, *nix ПРОГРАММИРОВАНИЕ     Общие вопросы программирования         ПО для Web разработчика     PHP     Python     С/С++, C#, Rust, Swift, Go, Java, Perl, Ruby     Реверсинг ФИНАНСОВЫЕ ЗАДАЧИ/СОЦИАЛЬНЫЕ СЕТИ     Покупка, Продажа, Обмен         Разное - Покупка, продажа, обмен         Услуги, Покупка и Продажа в SEO         Электронные валюты: Обмен, Вывод, Ввод         VPN, Proxy, Socks - Покупка, продажа         Хостинг, Dedicated, VDS, Сервера - Покупка, продажа         Мобильная связь, СМС - Покупка, продажа         Трафик, инсталлы, загрузки - Покупка, продажа         Покупка, продажа, услуги в Соц. Сетях     Партнерки     Freelance - О Работе         Предложения работы, услуг     Социальные сети         Покупка, продажа, услуги в Соц. Сетях     Платежные системы         Электронные валюты: Обмен, Вывод, Ввод         Blockchain, Криптовалюты, смарт-контракты ЛИЧНЫЕ ФОРУМЫ     Арбитраж трафика ОФФТОП     Болталка     Forum for discussion of ANTICHAT     Video.Antichat         Комментарии к видео     Архив         ICQ - Покупка, продажа