Okazii - Mailuri utilizatori

[Dragos]

M? plimbam asear? prin site-ul Okazii, vrând s? vând ceva imaginar, aer, hârtie igienic?, pe pax, orice..

Când am vrut s? m? conectez, am observat c? îmi zice parol? incorect?. Ap?s pe butonul de recuperare a parolei ?i v?d c? îmi cere username-ul. L-am scris, am confirmat cererea de resetare a parolei ?i v?d c? îmi apare un mesaj: S-a trimis un mail c?tre syn_ah.23php@yahoo.com. Mi s-a p?rut ciudat s?-mi arate mailul dac? eu am dat doar utilizatorul. Ca s? m? conving de aceast? vulnerabilitate, am luat un utilizator la întâmplare de pe site ?i am dat s?-i reseteze parola. Acela?i rezultat: a afi?at mailul respectivului.

Ce se poate face cu asta? Se poate crea un crawler care s? ia la rând utilizatorii de pe Okazii ?i s? dea cerere de recuperare a parolei pentru a lua mailul ?i a-l introduce în baza de date.

http://dragosgaftoneanu.com/despre-okazii-si-sistemul-lor-de-recuperare-a-parolei.dg

Edited January 9, 2011 by Dragos

[nedo]

pai in prima faza ai avea nevoie sa stii utilizatorii

Probabil ai putea sa faci insa sa foloseasca un fel de wordlist spre exemplu (nu stiu insa daca logheaza incercarile de a reseta parola si nu cumva o blocheaza daca s-au facut prea multe cereri de pe acelasi ip.

Le. Daca nu e problema cu cererile se poate genera un wordlist si poate fi utilizat de crawler

Am facut un mic test si se pare ca ai putea face un crawler care sa gaseasca automat userele.

Crawlerul poate cauta link-ul

http://www.okazii.ro/comunitati/okazia-lui/

Din ce am vazut pe 2-3 pagini cu produse ce este dupa ultimul / este fie userul fie ce a ales persoana respectiva sa arate in loc de user. Am facut un mic test si folosidu-ma de userul de acolo am aflat o adresa de mail.

So succes

Edited January 9, 2011 by nedo

[plm]

pai in prima vaza ai avea nevoie sa stii utilizatorii

Probabil ai putea sa faci insa sa foloseasca un fel de wordlist spre exemplu (nu stiu insa daca logheaza incercarile de a reseta parola si nu cumva o blocheaza daca s-au facut prea multe cereri de pe acelasi ip.

nu ar fi problema partea cu cererile de pe acelasi ip. singura problema pare acum lista userilor.

[Guest Nemessis]

Asta e un cacat foarte interesant.

[loki]

O metoda: trebuie sa fii logat

Exista un link care pentru a adauga un utilizator ca favorit, link-ul primeste ID-ul lui:

www. okazii. ro/contul-meu/activitate/favorite/adauga-vanzator/?id=1

cu curl, wget sau tot ce vreti accesati pagina si selectati utilizatorul din sursa paginii.

<a TARGET="_blank" href="http://www.okazii.ro/comunitati/okazia-lui/balexandru.html"> balexandru </a>

Accesati urmatorul link si tot asa:

www. okazii. ro/contul-meu/activitate/favorite/adauga-vanzator/?id=2

E de munca pana la peste 100000 useri, timp de incarcare, probabil va umple logurile de la okazii cu incercarile voastre dar aveti in final o lista de useri.

Edited January 9, 2011 by loki

[ROFL]

Ai uitat sa zici de asta:

[Dragos]

Ai uitat sa zici de asta:

Am dat si eu de intrebarile de securitate, insa am vazut ca putini utilizatori le au activate.

[loki]

gata, au reparat.