Яндекс: читаем почту в спартанских условиях

Небольшое видео, снятое на тапок =)

Содержание вкратце - демонстрация чтения писем на Яндексе в обход полностью залогиненного профиля в основном интерфейсе почты.

Смотреть на YouTube

Скачать с sendspace.com (25 Mb)

Исходный код парсера

 

Заодно отвечу на немой вопрос, но заданный на другом форуме:

Совершенно верно. Таким способом Вам не взломать чужой аккаунт. Как минимум живые кукисы Вам всё равно понадобятся. Как их угонять - ваша забота.

Если бы был способ читать письма в обход авторизации, можно было бы стать миллионером уже =)

Самая примитивная ситуация, в которой сработает данный способ: у вас оказались куки человека из другой страны, города, в общем Яндекс запрашивает у вас подтверждение номера или ещё какие то данные; но кукисы при этом живые.

Вы можете вставить кукисы в парсер и прогнать по диапазону. Подтверждение для этого поддомена не требуется.

Недостаток: неизвестное начальное и конечное значение диапазона.

И это, пожалуй, единственная загвоздка как настроить парсер. Может Вы что-нибудь придумаете. Я пока не придумал.

 

Уже навряд ли. Я копал это не один, хотя бага моя. Часть баги на данный момент заблаговременно пофиксена Яндексом. Поэтому это видео и выложено в паблик.

 

ZenMate, RUMOLA Bypass Captcha, Test IE (test sites as IEXplorer 8), Edit This Cookie.

Пока сессия жива в браузере (ну или частично жива как на видео) - проблем никаких нет, ни принудительного сброса сессии, ни капчи. Многопоток в PoC работает не идеально. Но на то это и PoC, чтобы рабочий вариант вы сами допиливали.

Но на момент снятия видео было обнаружено 100% писем из того диапазона, что я указал.