Привет, как обойти подтверждение авторизации в hotmail, gmail? Имееться огромный выбор прокси, подобрать могу под город жертвы, так же есть логин и пароль жертвы, могу вытащить любые файлы с его компьютера, цель - авторизироваться!
Если у тебя слепок конфига совпадает с ip города жертвы, то aol,hotmail не попросят потверждения. Google же читает flash куки. Если их нет на компьютере, либо штат\провинция отличается от предыдущего входа, то предложит потверждение. В случае если страна отличается, он сделает типо неверный логин и пароль.
юзер агент + максимально похожий ip и проблем со входом не будет.. перед входом не забываем отключать javascript и flash..
верно верно + ) когда-то может и было все так просто UA + IP хотя по гео схожий) да и не совсем так было то) так как кроме UA и IP есть такие вещи как Browser Plugin Details Windows Media Player Information Microsoft Silverlight Information Date and Time Information, Time Zone Component в частоности IE Ajax Support + AdobeR Browser Capability Information .NET Framework Gecko Движки Установленные Add-ons DNS Screen Size and Color Depth System Fonts Limited supercookie Access-Control-Allow-Origin header Hostname binding (local tunnel) Local Proxy gnix Даже! Cursor инфа И это далеко не весь список... И ЭТО многие активно используют для идентификации. Не стоит думать что там дураки сидят и все мы такие классные что подменив UA заходим ИНОГДА!) По большей части это все конечно для мониторинга, но не используется в целях идентификации, в отличии как у гугла или того же новенького FMC яндекса. Почему? Ответ ведет нас к миллионам и более людей (для компаний они "клиенты")... Разве так сложно понапихать 2fa обязательных, требовать супер пароли, smart card и тд и тп для авиторизации? Да, сложно, ибо этим как раз миллионам "клиентам" не понравиться то, что им не дают выставлять годами возлюбленные пароли типа Qwerty, 123456 и просто откажутся от использования сервиса.. Вот поэтому и постепенно внедряют системы, которых по сути обычный пользователь никогда и не заметит, будет также заходить с паролем qwerty, но если проведут огромнешую работу над системой защиты и статистики, то он безусловно будет в такой-же безопасности как и юзер на другом ресурсе с пароле {doаZZ]\оК;№")#(@ где всем по.. на их конф. инфу. p.s. ну конечно утрировано про qwerty и стронг пасс, но главное суть отражена ярко)
что именно? изначально нужно пробовать pop/imap, а гугл = кэш, лайв по ip насколько знаю реагирует. ну вообще хотмейл есть альтернативные способы залогинится, гугл максимум прочекать валидность акка не учитывая IP и др факторы, ну и собственно без бана или алерта со стороны почты к холдеру. конечно делиться этими знаниями просто так никто не собирается.
Вообщем провел эксперимент : взял американский аккаунт Лас-Вегас Невада (из России меня не пускало - Жмайл (gmail.com) делал дополнительную проверку в виде СМС) . Списался с русским эмигрантом живущим в Лас-Вегасе попросил его ковырнуть почту - в итоге, к моему удивлению ,он без проблем зашел и скинул мне нужные скриншоты с этой почты. Никакие прокси и анонимайзеры не справлялись с этой задачей ...сделал вывод ,для того чтобы обойти жмайл нужен хороший дедик находящийся на нужной локализаций и всего то ...
Диапазоны ДЦ, в которых висят дедики, давным давно палятся всё тем же гуглом. В основном для фильтрации мусорного трафа в adsense.
