Mail.Ru — The Ghost Question Bug!
Уязвимость была довольно серьёзной и по этому хотелось придумать звучное название.
Почему назвали именно так узнаете ниже.
На днях я решил заново взяться за базу примари на mail.ru и побрутить ящики по секретным вопросам. В 2011 году было снято несколько сотен ящиков и по этому встал вопрос: где взять актуальные ответы!?
Недолго думая я обратился к недавно найденной хитрости. С её помощью можно узнать имя и фамилию от любого зарегистрированного ящика в mail.ru. Для этого проходим по ссылке www.icq.com/download/webicq/ru, входим в аську и в поиске вбиваем желаемое мыло.
В ответе нам приходит имя и фамилия из информации о владельце ящика, дата рождения и город.
С виду всё прекрасно, но парcить таким методом фамилии и имена так и не вышло. С горя я решил брать их с «Моего Мира», но не все ящики там зарегистрированны, если быть точным не у всех создан «Мой Мир».
Через несколько минут было готово правило которое из списка со строками вида:
user@mail.ru|
делало список
user@mail.ru|Петрова.
Пропарсив полученную базу и сунув их в брут было снято несколько почтовых ящиков на фамилии и несколько на пробелы! Хм… Пробелы?
Зайдя в форму восстановление пароля от рандомного ящика и попробовав ввести пробел вместо ответа, я понял, что пробел это всё-равно что пустой ответ, а так как брут, который я использовал, не может брутить на пустые ответы, то я решил сделать сорс лист с пробелами! Вуаля — куча снятых ящиков и среди них 4 односимвольных.
Но не долго я радовался. Попробовав сменить пароль от понравившегося мне ящика, я увидел, что секретный вопрос на нём не установлен. Тут я решил имитировать работу брута и глянуть, почему же он сунул его в good? Был построен такой запрос:
e.mail.ru/cgi-bin/passremind?action=answer&Username=&Domain=&Submit_PasswordAnswer=1&lang=ru_RU&answer=
Пройдя по данной ссылке, я увидел предложение сменить вопрос, отвязать мыло и номер телфона владельца! При этом нам становятся полностью видны телефоны владельцев и их запасные электронные ящики для восстановления без всяких звёздочек.
Опять же, рано я обрадовался... После того, как я проделал всё предложенное, результата не последовало и всё осталось как есть, и почта, и номер телефона, а мой вопрос так и не появился.
Через некоторое время и ещё пару неудачных попыток изменения пароля я вспомнил, что мой знакомый кодер делал брут секретных вопросов через m.mail.ru - это мобильная версия сайта. И я попробовал изменить запрос на "мобильный", который выглядел вот так:
m.mail.ru/cgi-bin/passremind?action=answer&Usern ame=&Domain=&Su bmit_PasswordAnswer=1&lang=ru_ RU&answer=
Пройдя по данной ссылке я увидел предложение сменить пароль:
И он действительно менялся.
Также я заметил, что над полями, где вводил новый пароль, видно секретный вопрос, это вопрос «Фантом».
Баг был пофиксен 16.02.2013, статья писалась в ознакомительных целях.
