Уязвимости на e-mail.ru

[Winux]

Недавно была найдена уязвимость в почтовом сервисе e-mail.ru. Из-за недостаточной фильтрации данных, пользователь, имеющий ящик на этом сервере может сменить пароль на другом аккуанте, без ведома владельца.
Есть прямая угроза лишиться мыла или же полностью захватить ящик в данном сервисе. Естественно, кроме админского. На него, почему-то уязвимость не действует.....=)
При смене пароля достаточно выловить пакет и изменить данные. Например:

cmd=passwd1&utoken=Логин_жертвы@e-mail.ru&show=passwd.tpl&pass=Новый пароль&repass=Новый пароль&pquestion=&panswer=

Сессию, после @e-mail.ru_Session необходимо удалить. Вписывать можно прямо в адресную строку любого браузера.
Уязвимость на сейчас полностью работает!

 

[©yBe®0Ge№]

походу админы уже залатали дырку, у меня не получилось угнать мыльцо :*(

 

[iamwinner]

как тока чтото на паб кидают - сразу фиксят.

 

[satirik]

iamwinner
а тебе надо оставить пока ты не ханешь?
А вообще (в основном) фиксят сначала а потом кидают в паблик.

 

[SaTurN]

Да, жалко, что багу залатали <_<

 

[gemaglabin]

Winux зачем в паблик кинул? :angry:

 

[Winux]

gemaglabin
Я кинул?? Я вообще то из другого места взял. Откуды - не помню.

 

[gemaglabin]

Ну вообще может человек и кинул в 1 месте а все так и разнесли по форумам\сайтам

 

[Winux]

gemaglabin
Я собстно не знал что уязвимость приват. наткнулся 1 раз, потом другой...Вот и вывесил. По-моему на хак-оле лежала...

 

[pcproman]

iamwinner
gemaglabin
А вы что самые умные ребята?!
если бы етого небыло в паблике, вы бы и неузнали о баге?!!!... :bang:

 

[SaTurN]

pcproman, я бы не назвал это таким уж приватом ...

П.С, Хватит Флейма, по делу только. Хотя, думаю тему надо закрыть. Баг не актуален.

 

[Winux]

SaTurN
Ничо закрывать не надо. Сюда будем постить новые баги в этом сервисе.

 

[SaTurN]

Winux, они не так часто появляются. Пошёл поищу что-нить в этом сервисе