Тема: Sms-центр под контролем
Показать сообщение отдельно

  #3  
Старый 24.06.2005, 20:17
silveran
Постоянный
Регистрация: 02.05.2005
Сообщений: 786
Провел на форуме:
807041

Репутация: 263


Отправить сообщение для silveran с помощью ICQ
По умолчанию
Автоматизированная рассылка

Оказывается, слать SMS можно не только из web-среды и глючного MessengerPRO. Система имеет свой API, который реализуется на базе протокола HTTP. Чтобы облегчить работу по рассылке сообщений, я в свое время сделал HTML-форму, которая обращалась к скрипту clickatell’а и отсылала нужный текст. Для заинтересованных лиц привожу ее нехитрый код.

<form method="POST" action="http://api.clickatell.com/http/sendmsg">

<input type=hidden name=api_id value=ID>

<input type=hidden name=user value=USERNAME>

<input type=hidden name=password value=PASSWORD>

<input type=hidden name=deliv_ack value=1>

<input type=text name=from value="NAME">

<textarea rows="10" name="text" cols="70"></textarea>

<input type=submit value=Send class=form>

<input type=reset value=Clear class=form>

</form>

Следует заметить, что значения ID, USERNAME и PASSWORD берутся из пользовательской базы. Либо легальным путем со страницы персональных настроек .

Что помогло мне при взломе?

1. Я убил больше часа на подбор названий таблиц и заголовков, чтобы вызвать SQL-injection на главном сервере clickatell.com. Только благодаря этому мне удалось отобразить пароли администратора.

2. Вернувшись на Mantis, я обнаружил ссылку на незапароленный PhpMyAdmin. Поэтому бдительный анализ архивов переписки разработчиков идет хакерам только на пользу.

3. Архив скриптов, найденный на совершенно левом сервере, решил проблему доступа к административной зоне clickatell.com, а также помог мне найти брешь в PHP-коде

Боковые выносы

INFO

Оказывается, у clickatell.com есть несколько проектов. И все они в определенной степени относятся к протоколам сотовой связи .

Warning

Не стоит забывать, что все проделки негодяйского хакера противозаконны, поэтому эта статья дана лишь для ознакомления и организации правильной защиты с твоей стороны. За применение материала в незаконных целях автор и редакция ответственности не несут.

CD

Из-за того что админы быстро заткнули половину брешей, сделать полноценный видеоролик уже невозможно. Поэтому на диске ты найдешь только форму для отсылки SMS-сообщений, а также свежую версию программы MessengerPro.
 
Ответить с цитированием