alkos
23.05.2013, 00:26
Итак, майские праздники позади и администрация ICQ всерьез продолжила заниматься прикрытием багов в своем сервисе, что не может не радовать. Так в понедельник 13 мая был пофиксен еще один способ менять пароли на шестизнаках. А уже через два дня был закрыт доступ в админку сервиса lifestream.icq.com! Именно о последней "баге" собственно и пойдет речь.
http://savepic.org/3484477m.jpg (http://savepic.org/3484477.htm)
Доступ в админку был поистине смешным: http://lstreamfeweb.evip.icq.com/admin. В других случаях доступ ограничен паролем и ip-авторизацией, но тут почему-то отсутствовало и то и другое. Любой желающий мог пройти по ссылке и посетить админскую панель управления. Сама панель содержала обильное количество функций для управления в первую очередь лайфстримом, каналами пользователей, привязками к youtube, twitter, facebook и т.д. Сразу хочется отметить, что доступа к критической информации, будь то пароли, электронные адреса для авторизации и привязанные номера телефонов, в панели не содержалось.
Отдельно стоит упомянуть функцию "View graph cache in memcached", которая позволяла посмотреть кэш контакт-листа от любого ICQ-уина или аккаунта AIM. Кэш судя по всему обновлялся и чистился редко, поэтому обычно он содержал 70-95% от всего контакт-листа.
Другая функция "View accountinfo stored in memcached" позволяла посмотреть привязанные к уины аккаунты гугл, твиттер и фэйсбук.
Остальные функции можно посмотреть в скриншотах. Из самых интересных это пожалуй "Delete User" и "Bind Account" .
http://savepic.ru/4579442m.jpg (http://savepic.ru/4579442.htm)
http://savepic.net/3696602m.jpg (http://savepic.net/3696602.htm)
http://savepic.org/3478332m.jpg (http://savepic.org/3478332.htm)
Также можно было управлять сервисами, подключенными к каналам пользователей в лайфстрим и представленными на карте локациями отдельных структур и аффилированных организаций.
http://savepic.ru/4532338m.jpg (http://savepic.ru/4532338.htm)
http://savepic.net/3702749m.jpg (http://savepic.net/3702749.htm)
З.Ы. Как долго бага была точно не известно, но по моим данным это длилось более чем 1.5 месяца.
З.Ы.Ы. Аналогичной админки в лайфстриме на серверах AOL не обнаружено.
http://savepic.org/3484477m.jpg (http://savepic.org/3484477.htm)
Доступ в админку был поистине смешным: http://lstreamfeweb.evip.icq.com/admin. В других случаях доступ ограничен паролем и ip-авторизацией, но тут почему-то отсутствовало и то и другое. Любой желающий мог пройти по ссылке и посетить админскую панель управления. Сама панель содержала обильное количество функций для управления в первую очередь лайфстримом, каналами пользователей, привязками к youtube, twitter, facebook и т.д. Сразу хочется отметить, что доступа к критической информации, будь то пароли, электронные адреса для авторизации и привязанные номера телефонов, в панели не содержалось.
Отдельно стоит упомянуть функцию "View graph cache in memcached", которая позволяла посмотреть кэш контакт-листа от любого ICQ-уина или аккаунта AIM. Кэш судя по всему обновлялся и чистился редко, поэтому обычно он содержал 70-95% от всего контакт-листа.
Другая функция "View accountinfo stored in memcached" позволяла посмотреть привязанные к уины аккаунты гугл, твиттер и фэйсбук.
Остальные функции можно посмотреть в скриншотах. Из самых интересных это пожалуй "Delete User" и "Bind Account" .
http://savepic.ru/4579442m.jpg (http://savepic.ru/4579442.htm)
http://savepic.net/3696602m.jpg (http://savepic.net/3696602.htm)
http://savepic.org/3478332m.jpg (http://savepic.org/3478332.htm)
Также можно было управлять сервисами, подключенными к каналам пользователей в лайфстрим и представленными на карте локациями отдельных структур и аффилированных организаций.
http://savepic.ru/4532338m.jpg (http://savepic.ru/4532338.htm)
http://savepic.net/3702749m.jpg (http://savepic.net/3702749.htm)
З.Ы. Как долго бага была точно не известно, но по моим данным это длилось более чем 1.5 месяца.
З.Ы.Ы. Аналогичной админки в лайфстриме на серверах AOL не обнаружено.