Mail.ru

Думаю каждый хотя бы раз пытался ответить на секретный вопрос для чужого ящика) Что мне всегда мешало, так это надобность вводить дату рождения. Но есть однако одна небольшая недоработка программистов) Жмем "забыли пароль", вводим свой адрес, потом день рождения, и ответ на секретный вопрос(к примеру VZLOM и переходим к новой странице. Если все верно, то можно менять пароль. Вот тут самое время просмотреть HTML-код)) приблизительно такой.
<form action=http://mail.ru/cgi-bin/passremind>
<input type=hidden name=username value=yourmail>
<input type=hidden name=action value=change>
<input type=hidden name=domain value=inbox.ru>
<input type=hidden name=answer value=VZLOM>
<input type=password name=pass1>
<input type=password name=pass2>
<input type=submit>
</form>

Как видно, теперь даты рождения и в помине нет, а ответ на вопрос передается в скрытом поле. Меняем мыло и домен на нужные, задаем заранее значения пароля, и брутфорсим переменную answer, когда ответ будет правильным - пароль сразу сментится на заданный.
Для программ можно использовать заранее составленные вручную словари, например для собачек: Граф, тузик
для машин: Вольво, Линкольн))
Ну и на край, просто метод перебора, ведь некоторые не вводят правильный ответ, а просчто набор случайных символов.
Что хорошо в этом способе, лимита попыток нет, да и подобрать легче чем пароль.

 

Ништяк идея

 

Jazzz, я где-то читал про это ...

 

Надо прогу написать

 

Какую еще прогу ?  

 

которая будет ответы подбирать(надеюсь я не говорю щас глупость)

 

Я недавно получила на мейле пароль к своему ящику...даже не зная ответа на секрет. вопрос...так выслали...главное, было хорошо попросить...)

 

Леди, а можно поподробнее?

 

JazzzSummerMan зацени ка это: http://www.securitylab.ru/46496.html . Ты как гуру взломов бесплатных почтовиков должен знать что с этим делать!

 

Прикольно  

 

блин, дело в том что я в яве не силен объясните плз как что и как я могу сделать с помошью этой уязвимости

 

насчет секьюритилаб рахзумеецца, смешно опять же... как только туда такое попало.. Камаз, чтоб брутфорсить хтмл-формы рекомендую BRUTUS, прогу.. ну или wwwhack  в крайнем

 

николь, солнце, ты получила к своему ящику пароль, ну ведь у тебя и айпишник был того же прова, который нужен...

 

-JazzzSummerMan- ...Дело не в этом...они очень сильно сопротивлялись...Более 10 писем мы написали друг  другу, где я их  просто убеждала, что это мой ящик, и он мне очень нужен, дорог, ценен...И они выслали пароль...без всяких  вопросов секретных...А я совершила очень много попыток ответить на него...Вероятно...просто повезло и попались добрые люди))

 

Гы, женское обояние ...  

 

Или просто надо знать тех кто там когдато работал  

 

Ага ... Или все еще работает

 

Информация великая СИЛА

 

мило

 

А как сделать так чтобы пароль перебирался автоматически, а не вводить какждый раз самому