Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 108
Это даже на ошибку junior'а не тянет.
Это вообще на ошибку не тянет. Такое ощущение, что так и было задумано.
Что Mail.ру, что QIP больше заботятся о рекламе, чем задумываются о безопасности.
Им, видимо, на руку то, что их аудитория совершенно не задумывается о последствиях таких «удобств» как пересылка файлов через сервис.
Им, видимо, на руку то, что их аудитория совершенно не задумывается о последствиях таких «удобств» как пересылка файлов через сервис.
Маилрушечка — отличный полигон для скрипткидди. Дыр — тьма, жертв много
Хм, бесплатный фотохостинг
Firefox не может установить соединение с сервером download75.files.attachmail.ru.
Или прикрыли, или само отвалилось…
Или прикрыли, или само отвалилось…
самое забавное что ссылка с XXXXXX рабочая :) его величество рандом :)
Пользуясь случаем хочу спросить — как написать им в техподдержку? У меня троян увёл uin :)
Тоже хочу спросить. ICQ угнали вместе с почтой на рамблере, которая специально для ICQ. Писал в рамблер, писал в ICQ, писал в mail.ru, писал на хабр gornal, ничего хорошего. Хорошо, что угнали и не пользуются.
Мне кажется, что это давно уже было известно, пост датирован 6 авг. 2012 skripters.biz/forum/topic_47512/1#post-432988 просто такой широкой огласки не получило.
Эта «ошибка» была известна с тех пор, как ICQ купили и о ней уже писали на хабре. Но никто ничего похоже не изменил
Похожим способом подбирались id файлов, залитых на iCloud огрызка.
Возможно наработки из топика читателям пригодятся.
Возможно наработки из топика читателям пригодятся.
Спасибо за ссылку.
Но я не являюсь потребителем продукции Apple, я лишь вижу, что есть способ доступа кличным данным пользователей Apple, и лишь это предоставляет для меня интерес. Тем более способ законный, ведь данные по сути своей располагаются в свободном доступе.
Но я не являюсь потребителем продукции Apple, я лишь вижу, что есть способ доступа к
… в интернете появилась программа на языке Java, которая использует найденную уязвимость и случайным образом генерирует ссылки в заданном формате...
Старый добрый Picture pump тоже справляется с поставленной задачкой.
Кто-то, кроме русских мамонтов, ещё пользуется ICQ?
ну не у всех же линукс
и потом у вас полный перебор, а в программе — случайные ссылки
чем случайные ссылки лучше перебора?
Выше вероятность попадания за небольшой отрезок времени. Если же времени очень много, то да, разницы нет
Да ну, и чем это она выше?
нету ссылок в которых три одинаковых буквы подряд, например
Думаете, серверы ICQ специально генерируют ссылки, в которых символы не повторяются много раз подряд?
Если нет, то вероятность выпадения числа 1111111 или 7777777 из интервала 0..9999999 (для примера) такая же, как и у 5910583 и составляет 1×10-7. При условии, что нам ничего неизвестно о специфике работы ГПСЧ.
Если нет, то вероятность выпадения числа 1111111 или 7777777 из интервала 0..9999999 (для примера) такая же, как и у 5910583 и составляет 1×10-7. При условии, что нам ничего неизвестно о специфике работы ГПСЧ.
Такие ссылки как правило генерируются не рандомом, а накруткой счетчика, числовое значение которого затем переводится в числа и символы (как Base58 для коротких ссылок). Такая реализация наиболее простая и требует меньше проверок. С рандомом в конечном итоге вырастает вероятность генерации уже сгенерированной группы символов и в итоге повторов (на борьбу с которыми будут тратиться ресурсы).
JAVA — психологически моднее у народа :)
В майле, похоже, приняли меры от брутфорсеров. Скрипт уже не может подключиться.
upd.
они просто отключили сервер files.icq.net
upd.
они просто отключили сервер files.icq.net
Интересно. Спасибо. Скачал немаленький архив с фотографиями установок водоочистки и технической документацией на них — мне как раз пригодится :)
Сервис коротких ссылок никто поперебирать не пробовал? Или puu.sh какой-нибудь?
Поперебирать можно, но дело в том, что все ссылки на сервисах коротких ссылок публичны, никто не гарантирует, что ваша ссылка будет видна только вам. А если вы посылаете через мессенджер файл знакомому, то вы уверены, что его никто больше не увидит. Соответственно в данном случае мы имеет дело с утечкой данных, а там — просто интересуемся, какие именно ссылки укорачиваются на этих сервисах.
Пытаюсь найти информацию о гарантии сохранности и защищенности данных при передаче через icq.
Да мы даже админам в чатик пароли не кидаем, всё через энигму например. Не представляю, как можно передавать что-то секурное вот таким вот образом. По мне, ничем короткие ссылки от других сервисов не отличаются от коротких ссылок icq, разве что подлиннее у icq будет хешик.
И да, я не про сокращатель ссылок, а про любой сервис типа puu.sh — по передаче скриншотов/файлов/ссылок
Да мы даже админам в чатик пароли не кидаем, всё через энигму например. Не представляю, как можно передавать что-то секурное вот таким вот образом. По мне, ничем короткие ссылки от других сервисов не отличаются от коротких ссылок icq, разве что подлиннее у icq будет хешик.
И да, я не про сокращатель ссылок, а про любой сервис типа puu.sh — по передаче скриншотов/файлов/ссылок
Гарантий, думаю, вам никто не даст, тем более что сервис бесплатный. Но есть такое понятие, как репутация. Я так понимаю, что ответственная компания, которая ценит своих пользователей, подобного не допустит. Правда, я аськой лет десять уже не пользуюсь, не знаю, как там в интерфейсе была передача файлов реализована.
Ну и одно дело, если сервис вам сам публичную ссылку выдает, в этом случае можно понять, что ее кто угодно может увидеть, а другое — если она непрозрачно генерируется под капотом, а вы думаете, что файл из открытых интернетов не виден.
Ну и одно дело, если сервис вам сам публичную ссылку выдает, в этом случае можно понять, что ее кто угодно может увидеть, а другое — если она непрозрачно генерируется под капотом, а вы думаете, что файл из открытых интернетов не виден.
Проблема в том, что никто не пользуется видимо аськой из присутствующих в комментариях и смутно представляет сам процесс) Я сам довольно давно пользовался, и ставить не хочется даже просто чтобы потестировать.
Но сервису много лет и я уверен, что стояла бы задача защиты файлов от скачиваний — она была бы реализована. Почитал соглашение к файламmail.ru, никаких гарантий на защиту файлов не дается, но предупреждается об обратном.
Но сервису много лет и я уверен, что стояла бы задача защиты файлов от скачиваний — она была бы реализована. Почитал соглашение к файламmail.ru, никаких гарантий на защиту файлов не дается, но предупреждается об обратном.
Кто даст торрент файл на ваши скачанные файлы?
присоединясь к жаждующим :) а то долго ждать когда по фишкам фотки полетят :))
Сходите лучше на r/gonewild, если так уж невтерпеж.
Мне больше интересно изучить статистику файлов, нежели что-то другое.
Кто-нибудь вообще ещё пользуется ICQ?
6.6. Пользователь соглашается, что любые материалы/файлы, размещенные Пользователем на ресурсах Сервиса Файлыmail.ru в открытом доступе, могут быть использованы Mail.Ru по своему усмотрению без выплаты Пользователю какого-либо вознаграждения.
files.mail.ru/cgi-bin/files/fagreement
Это не баг, это фича (с)
files.mail.ru/cgi-bin/files/fagreement
Это не баг, это фича (с)
Ну тогда и Mail.ru пусть соглашается, что любые материалы/файлы, размещенные Пользователем на ресурсах Сервиса Файлы()mail.ru в открытом доступе, могут быть использованы другими Пользователями по своему усмотрению без выплаты Сервису какого-либо вознаграждения.
Мне интересно, как в интерфейсе аськи эта передача файлов реализована. Одно дело, если человек закачивает файл, получает ссылку и вставляет в окно разговора, а другое дело, если один нажимает Отправить, второй нажимает Принять, а между делом непрозрачно файл выставляется в общий доступ.
И вообще изначально было неясно, что передача файлов через аську и эти файлы-мэйл-ру суть одно и то же, только в профиль.
Мне интересно, как в интерфейсе аськи эта передача файлов реализована. Одно дело, если человек закачивает файл, получает ссылку и вставляет в окно разговора, а другое дело, если один нажимает Отправить, второй нажимает Принять, а между делом непрозрачно файл выставляется в общий доступ.
И вообще изначально было неясно, что передача файлов через аську и эти файлы-мэйл-ру суть одно и то же, только в профиль.
Тут указано явное размещение пользователем файлов в открытом доступе. А ведь при передаче файла по аське другому человеку пользователь полагает, что передаёт его только собеседнику.
какая игра слов прям, fag-reement
Вот пример программы на Java (генерирует ссылки). Потом файлик можно скормить wget screen
С числа 60466176 начинаются 6ти значные последовательности (в програмке). Меняя словарь вы измните конечный набор в линках и их порядок.
Важное замечание тем, кто скачивает файлы через wget: поставьте квоту
wget -c -t 2 -Q30G -o "log.txt" --directory-prefix "done" -T 5 -A ".zip,.rar,.7z,.jpg,.jpeg,.bmp,.png,.gif,.JPG,.JPEG,.txt,.doc,.psd,.gz,.docx" -i links.txt.С числа 60466176 начинаются 6ти значные последовательности (в програмке). Меняя словарь вы измните конечный набор в линках и их порядок.
Важное замечание тем, кто скачивает файлы через wget: поставьте квоту
-Q30G например, это значит, что при превышении 30 гигов (суммарно) скачка отключится и не используйте режим quiet -qc, используйте -c (продолжение) и добавьте лог -o «log.txt», чтобы не захламлять экран. Так как если из 10 миллионов ссылок вы нашли 1000, то 1000 файлов по мегабайту дадут вам 1 Тб (а там по 3 и по 20 метров), а проверив конец лога вы поймете на чем закачка оборвалась.
Окончательно починили, похоже.
Майл ру вперде, как всегда.
Эта «фишка» родного клиента или сервиса(протокола)?
Сторонние клиенты тоже уязвимы?
Сторонние клиенты тоже уязвимы?
При чём тут клиенты и протоколы? Файлы доступны по прямым ссылкам.
Следовательно, это сервера ICQ так делали.
Похоже на клиентскую уязвимость. Понятно, что в итоге файлы оказываются на серверах ICQ (т.е. мэйлару), но кривой способ их передачи реализован не на уровне протокола, а как опция в интерфейсе клиента. По протоколу передается только ссылка, как если бы ее просто вставили из буфера обмена. Я бы попробовал передать файл через сторонний клиент и посмотрел сниффером, что там происходит.
Я считаю, что не работает только потому что не работает линк для скачивания файла (теперь уже и files.mail.ru/files/get?fileId=XXXXXX)
Сейчас залил файл, попробовал подставить сюда ID файла — не пашет. Такие дела
Сейчас залил файл, попробовал подставить сюда ID файла — не пашет. Такие дела
Нужно хитрее быть
1. Качаем урл files.mail.ru/XXXXXXX
2. Ищём внутри слово «attachmail.ru»
3. Это слово — часть урла собственно для скачивания файла, который выглядит как-то так: download33.files.attachmail.ru/XXXXXX/68d954e12f85ac02760e6bc7ef09d282/DSCF2716.JPG
Дело техники, короче.
1. Качаем урл files.mail.ru/XXXXXXX
2. Ищём внутри слово «attachmail.ru»
3. Это слово — часть урла собственно для скачивания файла, который выглядит как-то так: download33.files.attachmail.ru/XXXXXX/68d954e12f85ac02760e6bc7ef09d282/DSCF2716.JPG
Дело техники, короче.
Лет 5-6 назад я передавал php файл через месенджер IM+ на платформе самбиан. Каковым было мое удивление когда при попытке скачать файл php выполнился а не закачался )))
Ну и вот ещё за компанию, https://www.google.com/search?q=site:attachmail.ru&hl=en&newwindow=1&tbo=d&filter=0&num=100
Вы о чём. Это например в Квипе уже лет n-адцать как есть. Использую в качестве файлообменника. Удобно. Для конфиденциальной передачи использую функцию «Передать напрямую». Другое дело, что пользователи по умолчанию об этом не осведомлены явно.
Просто в квипе всё на порядок более защищённо: roem.ru/2013/01/12/addednews60219/index.php?c#message154551
так, и где торрент?
Интересно.
А это нормально, что переходишь по рабочему URLу files.mail.ru/xxxxxx, где написано что такой файл есть, название и размер, нажимаешь скачать, кидает на «download33.files.attachmail.ru/», и страница выдает — Ошибка 404 — страница не найдена?
Попробовал на нескольких файлах.
А это нормально, что переходишь по рабочему URLу files.mail.ru/xxxxxx, где написано что такой файл есть, название и размер, нажимаешь скачать, кидает на «download33.files.attachmail.ru/», и страница выдает — Ошибка 404 — страница не найдена?
Попробовал на нескольких файлах.
Написал такое — pastebin.com/BRn4TaeK, проверяет наличие файла и начинает скачивать при наличии.
Но не работает сейчас, т.к. Not found выдает Mail.ru даже на рабочие ссылки.
Но не работает сейчас, т.к. Not found выдает Mail.ru даже на рабочие ссылки.
Нет ничего приятнее, чем тайком подглядывать за чужими сиськами. 
Я вот одного не могу понять: им что, мешала штатная функция прямой передачи файлов, которая работала с прошлого века?
Почему говномейлру к чему прикасается, все превращается в говно? Даже традиционный размер окна аськи, который всегда был удобен, и то разворотили на весь экран.
Почему говномейлру к чему прикасается, все превращается в говно? Даже традиционный размер окна аськи, который всегда был удобен, и то разворотили на весь экран.
Нифига уязвимость не починили. Все файлы по-прежнему доступны по ссылкам вида files.mail.ru/XXXXXX
В выдаче этого запроса находим ссылки вида download28.files.attachmail.ru/XXXXXX/a..z/file.txt, удаляем XXXXXX и качаем файл. Единственное, что сделали — это ограничение скорости отдачи и ограничение количества одновременных закачек. Такие дела.
В выдаче этого запроса находим ссылки вида download28.files.attachmail.ru/XXXXXX/a..z/file.txt, удаляем XXXXXX и качаем файл. Единственное, что сделали — это ограничение скорости отдачи и ограничение количества одновременных закачек. Такие дела.
Для новых файлов ссылка стала длиннее:
files.icq.net/files/get?fileId=E132656500FC40E99DC98575E53616D5
files.icq.net/files/get?fileId=E132656500FC40E99DC98575E53616D5
Да, но старые фотографии праздников, котиков, гениталий и документов по-прежнему доступны по коротким ссылкам, например files.mail.ru/Z2S4DP
Только там они однозначно связаны с емейлом. То есть без проблем можно установить хозяина котика. Написать скрипт для выкачивания изображений, подобный первоначальному — дело получаса.
Только там они однозначно связаны с емейлом. То есть без проблем можно установить хозяина котика. Написать скрипт для выкачивания изображений, подобный первоначальному — дело получаса.
Теперь даже files.mail.ru/XXXXXX выдает 404 Not Found — nginx
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Уязвимость в ICQ позволяет получить доступ к архиву переданных через сервис файлов