-
В Mail.Ru обнаружили дыру
Блог Toogeza описывает обнаруженную в Mail.Ru дыру, приводящую к возможности входа в чужой почтовый ящик. Цитата:
"В логах статистики мы частенько замечали не один переход по ссылкам из входящей почты на сервере mail.ru. По понятным причинам мы даже не пытаемся такие ссылки открывать.
Но сегодня я случайно нажал на referrer вида http://win.mail.ru/session/7250…. И каково же было моё удивление, когда перед глазами открылся ящик ничего не подозревающего пользователя сервиса mail.ru!"
http://toogeza.com/2008/10/10/1116
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Иными словами, для попадания в ящик на Майл.Ру достаточно послать атакуемому письмо со ссылкой, дождаться, когда он кликнет на нее через веб-интерфейс, и посмотреть логи своего сайта?
Сейчас проверю.
Добавлено через 8 минут
Проверил. Реферрер не содержит слова /session/, и переход по нему не приводит к вскрытию ящика. Попытавшись открыть адрес, указанный в логах моего сайта, я увидел лишь это:
Требуемое письмо на сервере отсутствует.
Последний раз редактировалось DVi; 11.10.2008 в 12:56.
Причина: Добавлено
-
-
Сообщение от
DVi
Иными словами, для попадания в ящик на Майл.Ру достаточно послать атакуемому письмо со ссылкой, дождаться, когда он кликнет на нее через веб-интерфейс, и посмотреть логи своего сайта?
Как пояснили на хабрахабр-точка-ру, это не по умолчанию у всех, а только у тех кто принудительно отключил cookie.
Paul
-
Junior Member
- Вес репутации
- 60
vot tak prosto!
-
Сообщение от
p2u
Как пояснили на хабрахабр-точка-ру, это не по умолчанию у всех, а только у тех кто принудительно отключил cookie.
Paul
Результат такой же как и у DVI как при включенных куках так и при выключенных.
Видимо уже всеже закрыли.
-
-
Сообщение от
Jolly Rojer
Результат такой же как и у DVI как при включенных куках так и при выключенных.
Видимо уже всеже закрыли.
Маленькое пояснение: на habrahabr-е, на который ссылался p2u, речь шла о выключенных сеансовых cookies в настройках веб-интерфейса на mail.ru (опция находится в разделе "Безопасность" и включена по умолчанию).
-