Вобщем решил я поидиотствовать и наугад набрать данные mail.ru одного пользователя в восстановлении пароля. Ну там имя "Идиот" город "Бобруйск" и... в результате мне тут же пришёл новый пароль на указанное мыло!!! Зашел в ящик, посмотрел данные... сошёлся только пол, названный наугад! Попробовал также тупо сделать с другими мыльниками, не получилось.
Как можно все это объяснить кроме как везение?

Глюк.
Вообще когда посылаешь заявку на восстановление, ее должен подтвердить или отклонить один из саппортов, т.е. этим занимается не машина.

Глюк.
Вообще когда посылаешь заявку на восстановление, ее должен подтвердить или отклонить один из саппортов, т.е. этим занимается не машина.
+1,данные сверяет сапорт,причем даже если указать большую часть данных и она будет верной,то еще не факт что вышлют новый пароль

+1,данные сверяет сапорт,причем даже если указать большую часть данных и она будет верной,то еще не факт что вышлют новый пароль
Ну да, я сам сталкивался с этим. Восстанавливал свой ящик, указал абсолютно верно все свои физические данные, которые я писал в анкете при регистрации, указал время последнего доступа и даже айпи. Фиг :)

Просто повезло. Наверно суппорт - лох попался.

хм...я думал это бот всё обрабатывает...так как при запросе на восстановление пароля ответ на почту обычно приходит чуть ли не моментально...

хм...я думал это бот всё обрабатывает...так как при запросе на восстановление пароля ответ на почту обычно приходит чуть ли не моментально...
я тоже так думаю и знаю что моментально приходит.
Просто повезло. Наверно суппорт - лох попался.
не думаю что в mail.ru сидят суппорты-лохи

Мдя.

Не нужно путать восстановление пароля по контрольному вопросу или на альтернативное мыло и восстановление по данным (через анкету).
И ежу понятно, что стандартные запросы обрабатываются программно. А мы тут говорим про заполнение анкеты с ФИО, датой рождения и пр. инфой.

не думаю что в mail.ru сидят суппорты-лохи
Лохов везде полно независимо майл ру это или пентагон.ком

Лохов везде полно независимо майл ру это или пентагон.ком
согласен...

Дык дело не в этом :) Мне сразу написалось на сайте что ПАРОЛЬ отправлен. А обычно пишется - ваш запрос обрабатывается. Может я какое то недопустимое значение ,года рождения например, ввёл? Жаль что там по ип ограничение на восстановление. Может кто нибудь брутер для этого дела сможет сделать?
Просто таким образом и пароль админа mail.ru узнать не далеко :)

что-то я в этом сомниваюсь. и что тебе даст проль от админской почты?

спам от админа будет хорошим завершением взлома

спам от админа будет хорошим завершением взломадля этого вовсе не обязательно иметь его ящик

не все же смотрят от кого реально прило письмо?!?!

не все же смотрят от кого реально прило письмо?!?!кто, от кого, зачем , почему .... это все легко подделывается

кто, от кого, зачем , почему .... это все легко подделывается
И что ? Я тебе подделаю, и ты поверишь?

спам от админа будет хорошим завершением взлома
зы...В любом случае зная пароль админа ..ты даже зайти не сможешь....там все пути к админкам...к емайлам ..ограниченны.....типо по IP и т.д ....Они только на работе в офисе могут заходить...ну вообщем..ты понял :)

Кстати:
1. Blind SQL/XPath injection for numeric inputs
Severity High
Affects /cgi-bin/passremind DetailsThe
POST variable "Username" is vulnerable.
Вот что нашел.