email basé sur WWW

Étant donné que les méthodes décrites dans cet article sont des utilisateurs chevronnés bien connus, mais les vulnérabilités qui permettent à une centaine de garantie pour cent pour mener à bien le piratage partout enlevés, il se concentre principalement sur l'introduction des principes de Web-mail du travail (et ses lacunes en matière de sécurité) pour les débutants.

Considérez lui-même un principe selon lequel à pirater une boîte aux lettres à travers le WWW. Nous possédons serveur www.po4ta.ru et nous avons besoin d'entrer dans la boîte aux lettres [email protected]. Enregistrement d' un compte sur ce bla bla serveur [email protected] que l'occupation principale aller dans les paramètres de notre boîte nouvellement créé. De plus d' intérêt pour nous est l'option "Change Password", où est proposé d'introduire le nouveau mot de passe, confirmer et envoyer des données.

Changer de mot de passe
Entrez le nouveau mot de passe:
Re-saisir:


Code HTML pour cette page pourrait ressembler à ceci:

Il change_pass.php - script côté serveur qui prend des valeurs PASS1, pass2 (confirmation de mot de passe) et le nom d' utilisateur (le contenu du champ caché qui indique le changement de mot de passe est faite sur exactement quel tiroir)
Si la forme répond à la fois GET-demande, polchutsya la ligne suivante:
http://po4ta.ru/change_pass.php?username=test&pass1=НОВЫЙ_ПАРОЛЬ&pass2=НОВЫЙ_ПАРОЛЬ

Maintenant, collez le lien suivant dans la barre d'adresse de la fenêtre actuelle de notre navigateur et envoie des données au serveur. En conséquence, nous obtenons un avis que le mot de passe a été changé avec succès boîte de [email protected]. Mais si vous essayez de nom d' utilisateur variable de faux et de modifier le mot de passe sur la zone d'intérêt pour nous. En référence:
http://po4ta.ru/change_pass.php?username= utilisateur & pass1 = new_password & pass2 = new_password
Le serveur va probablement nous donner un message comme «Vous avez fait de l' accès aux ressources qui requièrent une autorisation» comme TP. Cela signifie que change_pass.php, qui traite les demandes ont établi que, les témoins ont, enregistré sur notre CD dans la source de la session de travail avec le courrier correspond à un [email protected] utilisateur, mais n'a pas [email protected]. Outre les cookies des utilisateurs d'authentification peuvent être effectués par IP-adresse ou un ID-clé spéciale, qui sera discuté plus tard.

Ainsi , l'utilisateur doit envoyer une demande lui - même, avec la boîte de [email protected]. «Faire de l '« utilisateur ce faire, vous pouvez lui envoyer un message au code JavaScript, avec l'invention, dont les données sont automatiquement envoyées au serveur avec son IP et les cookies. Des exemples de ce code:

Ou par courrier:

Toutes les variables sont définies dans les champs cachés, et lorsque l'utilisateur déplace le curseur de la souris sur le corps de notre lettre, gestionnaire d'événements OnMouseOver met à jour les données. Vous pouvez complètement masquer le processus de changement de mot de passe, la modernisation du code:



MESSAGES TEXTE


Tableau format 1000x1000 étend la couverture onMouseOver gestionnaire, cependant, attribut sous forme de balise cible charge résultat de la requête dans le zeroFrame de trame zéro, maintenant le processus est complètement caché de l'oeil de l'utilisateur.


Peut-être parce qu'il a travaillé le serveur de messagerie principale avec le premier WWW-interface. À l'heure actuelle, il est temps de rodage du savon de cette manière ne peut pas être mis en œuvre. D'abord sur la plupart des serveurs aujourd'hui lors de la modification d'un mot de passe, ainsi que le nouveau, proposé d'introduire l'ancien mot de passe. Deuxièmement, il est difficile de trouver un serveur de messagerie, ce qui vous permet d'exécuter JavaScript dans les lettres comme un fichier joint.

des filtres de courrier

Ce sont des programmes qui résident sur le serveur, ils traitent les e-mails entrants, couper ou de les modifier dans le code, qui contient potentiellement dangereux. Ainsi, par exemple de script, après filtrage peut sembler Xscript ou scripX. Tous les programmes dans le script, dans ce cas, le conteneur ne sera pas en aucune façon interprété par le navigateur comme nous l'avions prévu. Pour contourner les filtres de sécurité autorisés ou de trouver des moyens de documenter la mise en œuvre de notre code, pas pris en compte par les développeurs postmen ou cacher, puis manger une référence de code dans une modernisé, neraspoznovaemom pour un filtre.
Envisager d'autres façons de répondre à la demande, étant donné dans l'exemple précédent.


Le résultat modifie les paramètres chargés dans une trame invisible. Une méthode efficace, mais dans la plupart des services de courrier électronique déjà couvert.



Plutôt que de l'adresse de l'image est chargée de la fixation d'un changement de mot de passe adresse. Il ne fonctionnera pas si l'utilisateur désactive les graphiques dans leur navigateur de résultats récents. travaille régulièrement sur la plupart des serveurs. Mais dans certains cas , l'échantillon www.rambler.ru, URL de téléchargement à travers une spéciale demande de redirection / http: //po4ta.ru/change_pass.php username = user & pass1 = new_password & pass2 = new_password?




L'URL est chargé après pores X (s). Cette balise travaille actuellement sur www.hotbox.ru

D'autres vulnérabilités

Explorer les paramètres de la boîte aux lettres dans les différents serveurs de savon, en plus de changer le mot de passe sans confirmation, a permis de trouver même un grand nombre de défauts fondamentaux, qui sont autorisés à utiliser pour prendre en charge la boîte de quelqu'un d'autre, lire ou supprimer des messages comme etc. Revenons à notre post sur www.po4ta.ru. option "Forwarding" est acquise. Nous entrons perdlagaetsya une ou plusieurs adresses auxquelles les e-mails sont envoyés.



Lorsque nous sommes dans le domaine des e - mails, tapez l'expédition adresse [email protected], également confirmer le changement de paramètres en appuyant sur le bouton "Enregistrer", la page se charge avec une nouvelle forme:



Pour que les modifications prennent effet, le terbium entrez le code de confirmation qui est envoyé au message [email protected]. Ainsi, nous pouvons acquérir toute la correspondance reçue à l'utilisateur d'intérêt pour nous, si à son tour lui envoyer une paire de HTML-lettre, le principal qui contient les paramètres de forme vers l'avant, mais dans l'autre - avec une confirmation spéciale que nous connaissons le code. Un tel système est "à l'écoute" boîte aux lettres étrangère un peu lourd, mais il existe de nombreuses versions des postiers, de ne pas demander un mot de passe pour installer des lettres pereadrisatsii.

Un autre des lacunes importantes dans la politique de sécurité des services postaux est un changement des objections secrètes de la tâche, si cette opération ne sont pas protégées par une confirmation de mot de passe. Nous pouvons couper l'utilisateur de sa boîte aux lettres en mettant à jour les données sont déjà connus de nous les méthodes, cependant, puis utiliser le rappel de mot de passe pour définir votre mot de passe.

Le plus souvent, dès qu'un simple pression d'un bouton, certains postmen supprimé compte utilisateur. échantillon typique - www.yandex.ru. Sur la suppression de la boîte nécessite un mot de passe, mais la suppression de la double Service - Site * .narod.ru - mot de passe non requis. Primaire, a permis de supprimer le site une «victime» à l'aide de sa boîte aux lettres interrogation: http://narod.yandex.ru/registration/unlogin.xhtml?DeleteLogin=%C4%E0, ce qui a permis de se cacher dans la balise IMG.

changement non autorisé d'autres paramètres, ainsi que d'au moins représentent un risque beaucoup plus faible, mais peuvent affecter indirectement la boîte de pochtvogo de capture
Modifiez vos informations personnelles (nom et ainsi de suite)
Modifier les informations de contact
Ensemble filtre
Effacer le dossier XXXX
Envoyer une lettre au nom de l'utilisateur
Installez POP3 collecteur

ID-KEY

A la source de l'article, nous avons fait une réservation, que dans certains cas utilise un identificateur de caractère au travail avec le courrier, il est autorisé à regarder dans votre navigateur:



L'introduction d'un tel système déjà ne nous permet pas d'effectuer une demande standard, posoklku ID est généré chaque fois l'entrée nouvellement fait dans une boîte aux lettres, et détruit travailler plus tard la fin de la session en appuyant sur le bouton "Quitter". Cependant, l'achèvement incorrect de la session, il est possible de réutiliser l'identificateur.
Ceci est facilement vérifiée en copiant l'adresse dans le presse papier, fermez la fenêtre et coller dans la barre d'adresse de la nouvelle fenêtre - nous étions de retour dans notre boîte. Maintenant, si l'ID-clé est pas mappé à l'adresse IP (un autre type de protection), d'une manière similaire sont autorisés à pénétrer dans la boîte d'un utilisateur, il suffit d'intercepter champ d'emplacement avec l'introduction de nos balises de message, qui envoient une demande html-sniffer à son tour, la HTTP_REFERER variables consignées dans un fichier. La façon la plus naïve, comme d'habitude, spécifiez les photos Adresse retour sniffer présumés:



http://zero.h12.ru/stat/base.txt - fichier journal
Quelques adresses renifleurs à manger sur le site. En classe, le script naspisat qui suit avec quelle adresse il reçoit une demande-cinq minutes d'exercice, il est beaucoup plus difficile de trouver un service d'hébergement pour l'accueillir. Un exemple d'un tel script en php:



Ensuite, regardez la situation, au moment où une pièce d'identité étrangère est inutile pour nous en raison du fait qu'il a été mis en adresse IP correspond aux de l'utilisateur. Revenons au système, au moment où l'utilisateur lui-même, avec son IP, la modification des paramètres de la boîte en ouvrant notre lettre. Supposons manger cette option Bloquer tous les messages entrants, et nous aimerions inclure dans le tiroir de quelqu'un.



L'identifiant est transmis dans un champ caché "id", donc maintenant, afin de modifier les paramètres, vous devez les vrais pores obtiennent comme substitut. La première chose qui a eu recours à JavaScript esprit. Il mange emplacement de l' objet spécialisé, il contient également l'URL de l'instrument actif. Pour sortir de notre emplacement ID, utilisez la fonction substr ().



Directement substr () à l'emplacement ne fonctionne pas, nous y ajoutons le symbole #, assigner une variable, mais dans une autre variable affiche les résultats des calculs, puis manger clé cut-ID. Arguments substr (): x-position de la ligne de source, x1-position sur x. Dans la ligne identifiant de http://www.newpochta.ru/session?id=a349f8d7be67c90af8873fc7ad803cf5&folder=inbox commence par la position 36e a aussi 32 caractères, de sorte que l'argument prend la forme substr (36, 32);

Un autre moyen d'obtenir ID - nouveau blah blah utiliser le script sur votre hôte. Trouvé dans les fichiers d'envoi:




ENCORE UNE FOIS A PROPOS DE FILTRES

Lorsque l'interface web avec le cookie d'identification, nous avons envoyé des demandes pour remplacer la configuration standard, peut également utiliser les balises HTML simples qui fonctionnent avec l'aide d'ID-clé commence un besoin direct de mettre en œuvre dans le code de la lettre, mais les développeurs serveurs de mail couvrent cette possibilité filtres d'entre eux mentionné ci-dessus. Maintenant, nous allons parler de la façon de vendre ces filtres. Utilisation ne méthodes assez familières que les programmeurs souvent négligés:



En fait, les JS ici "cacher" dans les valeurs des attributs de balises qui fonctionnent avec l'URL et générées dynamiquement lors du chargement de l'adresse indiquée.

Parfois , le filtre est autorisé à tricher un peu en se cachant le système de html malveillant, de sorte www.mail.ru à l'intérieur de chaque balise autorisée à introduire gestionnaire d'événements JS. En mode ligne de nomralnom



Mais si pour éliminer l'écart entre le gestionnaire de valeur et attribut, le filtre va manquer une telle structure:



Le défaut de cette méthode est que dans une certaine mesure, il y a une liaison à un navigateur spécifique, parce que parfois ils ont tendance à interpréter différemment le code HTML.
Après moment important - la forme dans laquelle envoyer la lettre. Si vous attachez un fichier html, l'intégrité du message restera dans les pièces jointes, mais dans le corps des paramètres de message désiré ne peut pas être affichée. Par conséquent, il est recommandé d'envoyer au format HTML. Cette fonction prend en charge certains WWW interfaces comme programme de messagerie POP3. Le gestionnaire de messagerie avec le message suivant ne devient pas incapable de se déplacer d'une icône de pièce jointe.

SYNTHÈSE

Ainsi, après avoir pour but de pénétrer dans la boîte aux lettres étrangère, nous devons d'abord examiner le système des vulnérabilités. Parfois, les programmeurs permettent erreur significative dans les scripts d'écriture. Environ chaque service a repris la fonction de mot de passe oublié. Habituellement, le login est inscrit sur la première page, l'autre objection à la tâche secrète, mais dans le troisième, si la réponse est correcte - le changement de mot de passe. Par exemple, dans l'intérêt de nous le système a de graves lacunes dans le système de sécurité, mais il est: nous avons répondu correctement à une tâche secrète aussi générer une nouvelle page avec un formulaire pour modifier le mot de passe, mais si l'on considère le code HTML de la page, a constaté que la reconnaissance de l'utilisateur ne se produit que dans le champ variable "nom d'utilisateur", qui est, en substituant un nom d'utilisateur différent, changer votre mot de passe dans un autre tiroir. Ou une variante: en échange du droit d'objection émis ID, similaire à celle utilisée au cours de la séance de travail avec le courrier. Peut-être obtenir l'ID-clé réelle et son remplacement dans les champs cachés, le serveur acceptera les nouveaux paramètres. Confiants ces omissions, je pense est absurde, parce que cela est suivi strictement de telles erreurs ne se répètent pas. Par conséquent, nous allons chercher des vulnérabilités dans le principe des organismes de services.

Si vous regardez l'e - mail web à www.newmail.ru (nm.ru, pochta.ru, orc.ru, nightmail.ru, hotmail.ru), y at - il une fois que ces lacunes. En se référant à nouveau pour reprendre l'option de mot de passe. Il est proposé de répondre au problème de la sécurité, comme si la réponse est sans équivoque - le mot de passe est envoyé à l'adresse e-mail configurée. Et si la réponse par e-mail sont sur différentes pages dans l'e-mail, il est possible de changer ainsi que l'autre, plus le filtre ne coupe même pas JavaScript. En plus du mot de passe lors de la reprise de sortie une autre forme, il est nécessaire d'entrer dans les conditions fixées plus de données (ils sont bla bla paramètres boîte) et envoyer le gouverneur. Comme pré-affecter de données à droite utilisateur - est déjà connu.

Naturellement, la plupart des travailleurs des postes bloqués tous, mais échappatoires prkticheski toujours manger. Et si dans la pénétration dans la zone de l'utilisateur a un grand intérêt pour nous ou nécessaire, la réception de celui-ci comme le permet plus d'informations et de développer une sorte de régime «stratégique» présenté dans cet article, les méthodes ont permis d'obtenir de bons résultats.
Voici des exemples de la vie réelle. L'attaquant veut obtenir un mot de passe à partir d'un service particulier, qui utilise la «victime» (pas nécessairement l'e-mail, comme l'hébergement). Dans le même temps, il est fiable connu que le mot de passe oublié sera envoyé à [email protected]~~V. Il envoie cette boîte de bla bla de message avec html tags:





Après avoir retiré le compte, il enregistre une nouvelle avec le nom bla bla gagne aussi sur son mot de passe.

Le maintien de la capacité de pénétrer avec ce bla bla pour rendre compte sur mail.ru. Un message de remise à zéro des paramètres de sécurité



Maintenant, chaque fois que vous vous approchez de l'utilisateur est ID-clé et l'adresse IP ne sont pas prises en compte, cependant, comme cela a été discuté, si l'intercepter avec un sniffer, il est facile à lire aussi dans la lettre désirée.

En conclusion, un jour, je note que les informations contenues ici, il y a longtemps est connu des utilisateurs plus ou moins alphabétisés, comme tout l'approche de bla bla à la fissuration de la boîte à travers html, à mon avis aujourd'hui aliène aussi plus de résultats que la force brute ou de l'ingénierie sociale. Vous avez juste à trouver juste une prémisse faible ainsi que la façon de l'utiliser.