alkos
27.04.2013, 17:25
Хочу рассказать об одном забавном и в то же время серьезном баге в сервисе ICQ, который недавно был закрыт (окончательно ли?). Как долго он существовал, я не знаю, но прикрыли лавочку только 8 апреля, спустя 4 дня после запрета на смену паролей и аттачей на пяти- и шестизнаках.
Допустим у нас есть номер А - шестизнак с привязанной почтой, и номер Б - кривая девятка тоже с привязанной почтой.
1. Сперва авторизуемся на сайте с номера Б (девятизнака).
2. Теперь заглянем в cookie и найдем параметр karma_login. Его значение равно непосредственно номеру ICQ, с которого мы авторизовались. Изменим это значение на номер шестизнака А.
http://savepic.ru/4519351.jpg
3. Меняем аттач от номера. Вводим новую почту, и пароль от номера Б (с которого авторизовались). На почту придет ссылка с подтверждением перевязки. Если по ней проследовать, то номер Б перевяжется, тут все стандартно. Однако нас интересует не это! На старую почту должен прийти "роллбэк" - письмо с отменой привязки новой почты. Так вот роллбэк приходит на почту уина А!
http://savepic.net/3564750.jpg
4. Проходим по ссылке в письме с отменой привязки и меняем пароль на шестизнаке.
Таким образом можно было менять пароли на шестизнаках-аттачах еще некоторе время после введения запрета на сайте ICQ администрацией. =)
З.Ы. Другой трюк заключался в том, что на старую почту уина Б не приходит никаких подтверждений! А значит, проводя все вышеописанные операции с номерами А и Б в обратном порядке (авторизоваться с шестизнака, сменить куки на девятизнак), можно было перевязать аттач на другое мыло без прихода письма подтверждения! Таким образом злоумышленник мог сбрутить хороший номер и перевязать его, не оставив шансов на возврат у владельца.
З.Ы.Ы. Подмена karma_login позволяла делать еще много чего, в частности можно было смотреть полный список друзей подмененного уина.
Допустим у нас есть номер А - шестизнак с привязанной почтой, и номер Б - кривая девятка тоже с привязанной почтой.
1. Сперва авторизуемся на сайте с номера Б (девятизнака).
2. Теперь заглянем в cookie и найдем параметр karma_login. Его значение равно непосредственно номеру ICQ, с которого мы авторизовались. Изменим это значение на номер шестизнака А.
http://savepic.ru/4519351.jpg
3. Меняем аттач от номера. Вводим новую почту, и пароль от номера Б (с которого авторизовались). На почту придет ссылка с подтверждением перевязки. Если по ней проследовать, то номер Б перевяжется, тут все стандартно. Однако нас интересует не это! На старую почту должен прийти "роллбэк" - письмо с отменой привязки новой почты. Так вот роллбэк приходит на почту уина А!
http://savepic.net/3564750.jpg
4. Проходим по ссылке в письме с отменой привязки и меняем пароль на шестизнаке.
Таким образом можно было менять пароли на шестизнаках-аттачах еще некоторе время после введения запрета на сайте ICQ администрацией. =)
З.Ы. Другой трюк заключался в том, что на старую почту уина Б не приходит никаких подтверждений! А значит, проводя все вышеописанные операции с номерами А и Б в обратном порядке (авторизоваться с шестизнака, сменить куки на девятизнак), можно было перевязать аттач на другое мыло без прихода письма подтверждения! Таким образом злоумышленник мог сбрутить хороший номер и перевязать его, не оставив шансов на возврат у владельца.
З.Ы.Ы. Подмена karma_login позволяла делать еще много чего, в частности можно было смотреть полный список друзей подмененного уина.