Jump to content
loki

[CSRF] Yahoo Insider si acces Webcam!

Recommended Posts

Am convins pe cineva sa se logheze pe mail si sa acceseze https://login.yahoo.com/config/cookie_token si sa imi spuna tokenul. Apoi am incercat sa ma loghez https://login.yahoo.com/config/pwtoken_login?src=ymsgr&token=[tokenu respectiv] dar raspunsul serverului a fost 100 (adica token invalid). De ce nu ma pot loga cu tokenul obtinut cu linkul postat de loki?

Link to comment
Share on other sites

pentru ca probabil nu e acelasi token (desi se cheama la fel)

Pe asta il folosesti in link-ul reset_cookie_token dar trebuie folosit in primele minute dupa generare deoarece expira repede.

EDIT: ciudat, nu prea mai merge, nu stiu inca de ce.

Posibil sa aiba un mecanism de securitate pentru incercari repetate. La un moment dat mi-a cerut din nou parola.

Edited by loki
Link to comment
Share on other sites

Ultima oara cand m-am jucat cu varianta pt mobile de la yahoo (cand am facut spammerul IM), avea o securitate mult mai precara dc siteul in sine, vezi ca acolo conteaza mult ce user agent ai, in functie de telefon iti afiseaza diferite versiuni ale paginii, recomandarea este sa folosesti user agentul unui telefon cat mai vechi, ca ei sa nu aibe cum sa faca prea multe imbunatatiri de securitate.

Poti incepe de la

Nokia9210/2.0 Symbian-Crystal/6.1 Nokia/2.1

, si singura securitate era bazata pe 2 parametrii, c si r, fiind generati in coada linkurilor la care se adauga simularea unei utilizari umane printr-un un sleep random intre requesturi(eu foloseam intre 1.24 si 4 sec), trebuie tinut cont ca e bine sa nu sari peste linkuri ca sa ai parametrii aia 2 curati pe toata periaoada navigarii si mesaje cat mai diferite in eventualitatea unui spam, set de 3 propozitii, fiecare prop din set poate avea 10 valori care apoi sunt amestecate.

Felicitari pt descoperiri si bafta multa in cercetare! ;))

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...