Техническая поддержка форумов vBulletin
  форум vBSupport.ru > Камчатка > Бар «У воблочки» > Hi-Tech/Internet

Уязвимость в ICQ

Register Меню vBsupport Изображения Files Manager О рекламе Today's Posts Search
  • Родная гавань
  • Блок РКН снят
  • Premoderation
  • For English speaking users
  • Каталог Фрилансеров
  • If you want to buy some product or script
  • Администраторам
VBsupport перешел с домена .ORG на родной .RU Ура! Пожалуйста, обновите свои закладки - VBsupport.ru
Блок РКН снят, форум доступен на всей территории России, включая новые терртории, без VPN
На форуме введена премодерация ВСЕХ новых пользователей

Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
for English speaking users:
You may be surprised with restriction of access to the attachments of the forum. The reason is the recent change in vbsupport.org strategy:

- users with reputation < 10 belong to "simple_users" users' group
- if your reputation > 10 then administrator (kerk, Luvilla) can decide to move you into an "improved" group, but only manually

Main idea is to increase motivation of community members to share their ideas and willingness to support to each other. You may write an article for the subject where you are good enough, you may answer questions, you may share vbulletin.com/org content with vbsupport.org users, receiving "thanks" equal your reputation points. We should not only consume, we should produce something.

- you may:
* increase your reputation (doing something useful for another members of community) and being improved
* purchase temporary access to the improved category:
10 $ for 3 months. - this group can download attachments, reputation/posts do not matter.
20 $ for 3 months. - this group can download attachments, reputation/posts do not matter + adds eliminated + Inbox capacity increased + files manager increased permissions.

Please contact kerk or Luvilla regarding payments.

Important!:
- if your reputation will become less then 0, you will be moved into "simple_users" users' group automatically.*
*for temporary groups (pre-paid for 3 months) reputation/posts do not matter.
Уважаемые пользователи!

На форуме открыт новый раздел "Каталог фрилансеров"

и отдельный раздел для платных заказов "Куплю/Закажу"

Если вы хотите приобрести какой то скрипт/продукт/хак из каталогов перечисленных ниже:
Каталог модулей/хаков
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота.
Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
 
Page 1 of 2 1 2
 
 
 
ikopylov
Гуру
vBSNews
 
ikopylov's Avatar
Default Уязвимость в ICQ
3
Уязвимость в ICQ позволяет получить доступ к архиву переданных через сервис файлов

После приобретения компанией Mail.ru некогда популярного сервиса обмена сообщениями ICQ был изменен способ передачи файлов между пользователями мессенджера. Если раньше файлы пересылались напрямую между отправителем и получателем, то сейчас отправитель закачивает файл на сервер компании, а получатель скачивает его по публичной ссылке. Ссылка на файл имеет вид _http://files.icq.net/files/get?fileId=XXXXXX и для получения доступа к закачанному на сервер файлу необходимо знать только её, так как никаких мер, обеспечивающих ограничение доступа к файлу, не предпринимается. Поскольку динамически генерируемая часть ссылки состоит всего из шести символов (цифры или английские буквы в верхнем регистре), это дает возможность получения доступа ко всему архиву переданных в последнее время через ICQ файлов методом перебора. Несложно подсчитать, что всего таким образом доступно чуть более двух миллиардов комбинаций.

Про обнаруженную утечку данных написал блогер ntv в своем дневнике на сайте Живого Журнала. Как отмечается на его странице, сегодня в интернете появилась программа на языке Java, которая использует найденную уязвимость и случайным образом генерирует ссылки в заданном формате, после чего пробует скачать по получившимся ссылкам файлы. Из логов работающей программы видно, что большинство сгенерированных ссылок не соответствуют каким-либо файлам на сервере, часть ссылок ведет на слишком большие изображения или файлы других типов, которые сервер не отдает, но по части ссылок возвращаются закачанные кем-то ранее через ICQ личные фотографии и картинки.

Среди полученных с сервера изображений можно найти фотографии паспортов и сканы документов, скриншоты видеоигр и съёмку обнаженной натуры, да что там, даже котики есть. Думаю, не один человек сможет узнать на фотографиях из архива себя или своих близких. Стоит предположить, что полный архив полученных изображений в скором времени будет доступен через торренты.

Как отмечает блогер ntv, подобной уязвимости подвержен и мессенджер QIP, однако в нем ссылки имеют большую длину, а значит более устойчивы к перебору. Мы же отметим, что около двух лет назад подобная уязвимость была использована для получения доступа к архиву изображений, переданных через фотоприложение Quip для айфона. Как видно, программисты Mail.ru не особенно следят за подобными новостями.

Думаю, лучше всего охарактеризует сложившуюся ситуацию одна из фотографий, полученная с использованием данной уязвимости.
(пользовательское фото)

Новость взята отсюда
Bot
Yandex Bot Yandex Bot is online now
 
Join Date: 05.05.2005
Реклама на форуме А что у нас тут интересного? =)
 
 
kerk
k0t
 
kerk's Avatar
Default
2
майл.сру в своем репертуаре
 
 
StenLi
На доске почёта
Пожизненный блэк
 
banned nax
Default
1
Блин, я умудряюсь, как еще не написали про уязвимость на странице восстановления пароля, в CMS с функцией генерации кода восстановления в таком виде
PHP Code:
$resore_pwdmd5(10009000); 
Ведь тоже перебором можно.

Они из очевидных вещей таких слонов раздувают...
 
 
Luvilla
Гость
Default
Quote:
Originally Posted by ikopylov View Post
да что там, даже котики есть
это капец... юзера этого не простят!!! как же, фотки котиков чужие люди смотреть будут!

Quote:
Originally Posted by kerk View Post
майл.сру в своем репертуаре
кого-то это ещё удивляет?
 
 
ZTX18
Специалист
Default
1
Что, кто-то пользуется офф. клиентом? Возможность прямой передачи в протоколе осталась, кто запрещает ей пользоваться?
 
 
Sven
Front-End Developer
 
Sven's Avatar
Default
1
Quote:
Originally Posted by ZTX18 View Post
Что, кто-то пользуется офф. клиентом?
У меня клиенты пользуются)
 
 
ikopylov
Гуру
vBSNews
 
ikopylov's Avatar
Default
1
Была хорошая программа, небольшая нечего не жрала, рекламой не задалбывала
Пришло МылоСру и сразу же, как и все остальное, к чему прикоснется рука данной компании начинает напоминать кучу ....

Quote:
Originally Posted by ZTX18 View Post
Возможность прямой передачи в протоколе осталась, кто запрещает ей пользоваться?
Между программами ICQ и QIP напрямую передача невозможна
 
 
OlgaB
Специалист
 
OlgaB's Avatar
Default
3
Quote:
Originally Posted by ikopylov View Post
Была хорошая программа, небольшая нечего не жрала, рекламой не задалбывала
QIP 2005 рулит.
 
 
Shestak
Эксперт
 
Shestak's Avatar
Default
1
Да и в 2012ом можно на прямую передавать файлы
 
 
ZTX18
Специалист
Default
0
Quote:
Originally Posted by ikopylov View Post
Между программами ICQ и QIP
И что? Я говорю лишь о том, что возможность прямой передачи сохранена в протоколе. Кому чем пользоваться - каждый решает сам.
 
Page 1 of 2 1 2

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is Off



All times are GMT +4. The time now is 11:06 AM.

Contact Us - vBSupport.ru - Top

Powered by vBulletin® Version Free Edition
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.