[CSRF] Yahoo Insider si acces Webcam!

[sherpishoru]

Eu incercam din browser direct, shhhh, nu mai spuneti nimanui

[Guest Nemessis]

http://filetransfer.ro/uploads/2Silent_Spy_V2.rar - verifica daca este webcamul pornit. Nu garantez ca e curat.

[VirtualMan]

Am convins pe cineva sa se logheze pe mail si sa acceseze https://login.yahoo.com/config/cookie_token si sa imi spuna tokenul. Apoi am incercat sa ma loghez https://login.yahoo.com/config/pwtoken_login?src=ymsgr&token=[tokenu respectiv] dar raspunsul serverului a fost 100 (adica token invalid). De ce nu ma pot loga cu tokenul obtinut cu linkul postat de loki?

[loki]

pentru ca probabil nu e acelasi token (desi se cheama la fel)

Pe asta il folosesti in link-ul reset_cookie_token dar trebuie folosit in primele minute dupa generare deoarece expira repede.

EDIT: ciudat, nu prea mai merge, nu stiu inca de ce.

Posibil sa aiba un mecanism de securitate pentru incercari repetate. La un moment dat mi-a cerut din nou parola.

Edited February 28, 2010 by loki

[Enervant]

http://filetransfer.ro/uploads/2Silent_Spy_V2.rar - verifica daca este webcamul pornit. Nu garantez ca e curat.

link-ul nu mai merge

Si banuiesc ca pentru a accesa webcamul trebuie sa avem cat de cat acces la acel cont ?!

[loki]

mda banuiesc ca trebe sa ai. Acces sau ce vrei tu acolo.

[Cheater]

Ultima oara cand m-am jucat cu varianta pt mobile de la yahoo (cand am facut spammerul IM), avea o securitate mult mai precara dc siteul in sine, vezi ca acolo conteaza mult ce user agent ai, in functie de telefon iti afiseaza diferite versiuni ale paginii, recomandarea este sa folosesti user agentul unui telefon cat mai vechi, ca ei sa nu aibe cum sa faca prea multe imbunatatiri de securitate.

Poti incepe de la

Nokia9210/2.0 Symbian-Crystal/6.1 Nokia/2.1

, si singura securitate era bazata pe 2 parametrii, c si r, fiind generati in coada linkurilor la care se adauga simularea unei utilizari umane printr-un un sleep random intre requesturi(eu foloseam intre 1.24 si 4 sec), trebuie tinut cont ca e bine sa nu sari peste linkuri ca sa ai parametrii aia 2 curati pe toata periaoada navigarii si mesaje cat mai diferite in eventualitatea unui spam, set de 3 propozitii, fiecare prop din set poate avea 10 valori care apoi sunt amestecate.

Felicitari pt descoperiri si bafta multa in cercetare!

[MazaBoY]

E tare.De mult cautam asa ceva ms.

[DraKNesS]

Bravo frate foarte tare ai +1 de lamine caut de mult asta :X

[bulinutza]

foarte,foarte interesant articolul,felicitari!

[don.paco]

foarte tare ...multumim

[bodonfs]

Frumos.Tine-o Tot asa..daca ai putea sa faci si unul pentru a salva automat arhivele sa se bifeze pe "Yes,Save all of messages" dami un pm daca se poate si daca stie cineva;)multan;)

[hyperi0n]

bv loki ...foarte interesant