ICQ - форум. Всё про ICQ.  

Вернуться   ICQ - форум. Всё про ICQ. > ICQ > Разное об ICQ: уязвимости, защита, проблемы с паролем

Разное об ICQ: уязвимости, защита, проблемы с паролем Обсуждение самых основных вопросов, касающихся ICQ - советы, статьи по безопасности, особенности новых версий и фишек, ответы по поводу установки клиента и простейших настроек, другие темы, не имеющие отношения к продвинутой эксплуатации ICQ. Перестал подходить пароль к номеру ICQ? Вам помогут в этом разделе ;)

 
 
Опции темы Оценить тему
Старый 22.05.2013, 23:27   #1
Модератор
 
Регистрация: 14.01.2007
Сообщений: 555

Репутация: 0
По умолчанию Глупые ошибки ICQ 2. Продолжение банкета.

Итак, майские праздники позади и администрация ICQ всерьез продолжила заниматься прикрытием багов в своем сервисе, что не может не радовать. Так в понедельник 13 мая был пофиксен еще один способ менять пароли на шестизнаках. А уже через два дня был закрыт доступ в админку сервиса lifestream.icq.com! Именно о последней "баге" собственно и пойдет речь.



Доступ в админку был поистине смешным: http://lstreamfeweb.evip.icq.com/admin. В других случаях доступ ограничен паролем и ip-авторизацией, но тут почему-то отсутствовало и то и другое. Любой желающий мог пройти по ссылке и посетить админскую панель управления. :) Сама панель содержала обильное количество функций для управления в первую очередь лайфстримом, каналами пользователей, привязками к youtube, twitter, facebook и т.д. Сразу хочется отметить, что доступа к критической информации, будь то пароли, электронные адреса для авторизации и привязанные номера телефонов, в панели не содержалось.

Отдельно стоит упомянуть функцию "View graph cache in memcached", которая позволяла посмотреть кэш контакт-листа от любого ICQ-уина или аккаунта AIM. Кэш судя по всему обновлялся и чистился редко, поэтому обычно он содержал 70-95% от всего контакт-листа.

Другая функция "View accountinfo stored in memcached" позволяла посмотреть привязанные к уины аккаунты гугл, твиттер и фэйсбук.

Остальные функции можно посмотреть в скриншотах. Из самых интересных это пожалуй "Delete User" и "Bind Account" :).







Также можно было управлять сервисами, подключенными к каналам пользователей в лайфстрим и представленными на карте локациями отдельных структур и аффилированных организаций.






З.Ы. Как долго бага была точно не известно, но по моим данным это длилось более чем 1.5 месяца.

З.Ы.Ы. Аналогичной админки в лайфстриме на серверах AOL не обнаружено.
alkos вне форума  
Плюсанули alkos — 12 :
Старый 20.06.2014, 19:37   #2
Модератор
 
Регистрация: 14.01.2007
Сообщений: 555

Репутация: 0
По умолчанию

Несколько недель назад админка (http://lstreamfeweb.evip.icq.com/admin) вдруг вновь ожила! И админы опять накосячили - доступ в админку не фильтровался!

Вооружившись сорсами своего брута ALICE, за вечер мной был написан многопоточный граббер контакт-листов от ICQ-уинов (ICQ CL GET).


Примерно за неделю удалось собрать базу ~100 млн. аккаунтов! Затем бага была закрыта. :)
alkos вне форума  
Плюсанули alkos — 3 :
 

Опции темы
Оценка этой теме
Оценка этой теме:

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Часовой пояс GMT +3, время: 00:38.


Перевод: zCarot
Форум Асечников © Asechka.RU

Новости Сочи