12.02.2020, 12:44
|
|
Постоянный
Регистрация: 16.11.2018
Сообщений: 620
С нами:
3943766
Репутация:
47
|
|
Сообщение от ci0b2n1feec
↑
если у админа мыло
123@gmail.com
Если что то не пробывал и не пробивал не стоит сувать свой нос отталкиваясь от мануалов.
НЕ стоит хамить.
Сообщение от ci0b2n1feec
↑
у тебу получиться подменить только gmail.com на ebanko.ru а 123 ты не как не заменишь.
я этого нигде и не писал. Прочтите внимательно что я написал.
Если вы не понимаете атаку, то не это не значит что она не работает. Там несколько условий для успешного выполнения. Ещё раз на пальцах:
- Для сбросе пароля вам нужно знать мыло админа. Допустим оно wp-admin@mail.ru
- При отправке мыло на сброс пароля отправляется от адреса wordpress@wp-site.ru на адрес wp-admin@mail.ru. В этой версии вордпресса при отправке POST-запроса заменяется в мыле отправителя домейн на то что вы передали в заголовке Host. Допустим там будет стоять Host: super-mail.ru. Тогда админу на почту wp-admin@mail.ru вышлется мыло от wordpress@super-mail.ru.
- Ну и теперь самое сложное, это мыло либо должно быть заблокировано майл-сервером админа и отброшено назад отправителю (wordpress@super-mail.ru) либо админ должен ответить с копией этого мыла отправителю(ещё менее вероятно). И только тогда получаем заветное мыло с кодом сброса пароля.
Ясен пень что это очень редко где сработает.
|
|
|