Форум АНТИЧАТ
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)
-   -   Возможно ли такое на fastbb'шных форумах?? (https://forum.antichat.xyz/showthread.php?t=47533)

БО-ГЭ 24.08.2007 20:44
Возможно ли такое на fastbb'шных форумах??
 
Вобщем есть один форум на borda.ru. Нужно заполучить пароль от админки. Есть некоторая догадка по этому поводу. Там есть система востановления пароля. Пароль отправляется на мыло введенное в личных данных админа. То есть если вы забыли пароль то вас просят ввести мыло указанное в ваших даных и если оно совпадает с тем что там реально указано то пароль приходит на ящик. Ну так вот у меня есть вопрос следующего типа: можно ли с помощью Naviscope отследить запрос который передается после сверения мыла на подлинность и подменить мыло админа на свое и с помощью Inetcrack отправить твой подмененный запрос на сервер borda.ru что бы пароль пришел на твое мыло??

n0ne 24.08.2007 20:57
Очень сомневаюсь, т.к. проверка проходит на стороне сервера, и тот запрос, который с паролем, генерируеца после положительного ответа на подлинность данных, так что имхо не получица :)

БО-ГЭ 24.08.2007 21:01
Ну я и говорил о том что когда проверка уже пройдена, отснифать запрос на направление пароля на мыло и подменить мыло админа на свое.

n0ne 24.08.2007 22:30
Дело в том, что этот запрос генерируеца внутри системы и дальше никуда не уходит, отснифать ты его сможешь только в том случае, если твой снифер будет стоять на гейтвее pop3 сервера, предоставляющего почту админу.

БО-ГЭ 25.08.2007 12:38
А вообще реально перехватить сейсию админа?? То есть фастбб хорош тем что там при смене пароля не надо вводить предыдущий. То есть остается только перехватить сейсию админа или стибрить у него куки. Кто знает какие способы как это можно осуществить??

n0ne 25.08.2007 17:04
Через Xss

БО-ГЭ 25.08.2007 19:30
Xss на фастбб вообще не пашет. Вообще фастбб форумы считаются самыми навороченными в плане защиты. Пробовал я и тот способ который был в видео на ачате про фастбб но этот метод уже не действует так как сейчас 9.25 версия фастбб. Блин может все таки хоть какая нибудь зацепка залома фастбб у кого нибудь есть??

vadim399 25.08.2007 19:48
Нечего там не стелаеш )

n0ne 25.08.2007 21:37
Ну сразу в голову только 1 мысль пришла, пробить браузер админа, но тогда кукисы тебе уже не нужны будут)) Или застать его после залогинивания на форум (например дать ссылку на самом форуме) и дать ссылку на снифф, ну который есессна ифрейме например. Что-нить такое...напрямую врятли получица :)

БО-ГЭ 25.08.2007 21:50
Ок, а ссылку на норм сниф тырящий все куки знаешь??


Время: 05:17
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице