Злой Еврей, 41 - 11 июня 2014 14:12

В последнее время несколько раз слышал тут возмущенные вопли о том, что анкету взломали, отобрали или удалили.

Стало интересно изучить этот вопрос поближе. Ну, в общем-то и изучил

Что мы имеем:

Самый цимес в том, что при авторизации логин и пароль передаются в открытом виде, как в телнете. Никакого шифрования нет и в помине, так что зная только логин пользователя - а это не сложно, можно очень просто перехватить и пароль, в тот момент, когда происходит авторизация.

Конкретно в сетевых пакетах надо искать форму

POST /a-logon/popup-1 HTTP/1.1 (application/x-www-form-urlencoded)

а уже в ней строчки

=logon&referer=&extend=cGF0aD0=&login=@@@@@@@@@@@&password=@@@@@@@@@

где вместо символов @@@@@ и будет логин и пароль нужного пользователя. Конкретно это будут строки с 0440 до 0480 внутри пакета. Всё просто :)

Можете поиграть друг с другом, хехе :)

P.S> как показали тесты - можно для получения пароля использовать не только компьютер, но и планшет и мобильный телефон.