УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

		Форум АНТИЧАТ > БЕЗОПАСНОСТЬ_OLD > Уязвимости
Возможно ли такое на fastbb'шных форумах??

Страница 1 из 2

Опции темы

Поиск в этой теме

Опции просмотра

Возможно ли такое на fastbb'шных форумах??

24.08.2007, 20:44

БО-ГЭ

Новичок

Регистрация: 11.07.2007

Сообщений: 5

Провел на форуме:
7318

Репутация: 2

Отправить сообщение для БО-ГЭ с помощью ICQ

Возможно ли такое на fastbb'шных форумах??

Вобщем есть один форум на borda.ru. Нужно заполучить пароль от админки. Есть некоторая догадка по этому поводу. Там есть система востановления пароля. Пароль отправляется на мыло введенное в личных данных админа. То есть если вы забыли пароль то вас просят ввести мыло указанное в ваших даных и если оно совпадает с тем что там реально указано то пароль приходит на ящик. Ну так вот у меня есть вопрос следующего типа: можно ли с помощью Naviscope отследить запрос который передается после сверения мыла на подлинность и подменить мыло админа на свое и с помощью Inetcrack отправить твой подмененный запрос на сервер borda.ru что бы пароль пришел на твое мыло??

24.08.2007, 20:57

n0ne

Постоянный

Регистрация: 01.01.2007

Сообщений: 796

Провел на форуме:
2693408

Репутация: 861

Очень сомневаюсь, т.к. проверка проходит на стороне сервера, и тот запрос, который с паролем, генерируеца после положительного ответа на подлинность данных, так что имхо не получица

24.08.2007, 21:01

БО-ГЭ

Новичок

Регистрация: 11.07.2007

Сообщений: 5

Провел на форуме:
7318

Репутация: 2

Ну я и говорил о том что когда проверка уже пройдена, отснифать запрос на направление пароля на мыло и подменить мыло админа на свое.

24.08.2007, 22:30

n0ne

Постоянный

Регистрация: 01.01.2007

Сообщений: 796

Провел на форуме:
2693408

Репутация: 861

Дело в том, что этот запрос генерируеца внутри системы и дальше никуда не уходит, отснифать ты его сможешь только в том случае, если твой снифер будет стоять на гейтвее pop3 сервера, предоставляющего почту админу.

25.08.2007, 12:38

БО-ГЭ

Новичок

Регистрация: 11.07.2007

Сообщений: 5

Провел на форуме:
7318

Репутация: 2

А вообще реально перехватить сейсию админа?? То есть фастбб хорош тем что там при смене пароля не надо вводить предыдущий. То есть остается только перехватить сейсию админа или стибрить у него куки. Кто знает какие способы как это можно осуществить??

25.08.2007, 17:04

n0ne

Постоянный

Регистрация: 01.01.2007

Сообщений: 796

Провел на форуме:
2693408

Репутация: 861

Через Xss

25.08.2007, 19:30

БО-ГЭ

Новичок

Регистрация: 11.07.2007

Сообщений: 5

Провел на форуме:
7318

Репутация: 2

Xss на фастбб вообще не пашет. Вообще фастбб форумы считаются самыми навороченными в плане защиты. Пробовал я и тот способ который был в видео на ачате про фастбб но этот метод уже не действует так как сейчас 9.25 версия фастбб. Блин может все таки хоть какая нибудь зацепка залома фастбб у кого нибудь есть??

25.08.2007, 19:48

~~vadim399~~

Banned

Регистрация: 27.05.2007

Сообщений: 368

Провел на форуме:
3969605

Репутация: 589

Отправить сообщение для vadim399 с помощью ICQ

Нечего там не стелаеш )

25.08.2007, 21:37

n0ne

Постоянный

Регистрация: 01.01.2007

Сообщений: 796

Провел на форуме:
2693408

Репутация: 861

Ну сразу в голову только 1 мысль пришла, пробить браузер админа, но тогда кукисы тебе уже не нужны будут)) Или застать его после залогинивания на форум (например дать ссылку на самом форуме) и дать ссылку на снифф, ну который есессна ифрейме например. Что-нить такое...напрямую врятли получица