Mozte pozerat cudziu postu na hotmail.com

21.08.2001 21:40 | blackhole

takze nas m$ bratricek nema problemy a bugy len vo svojom softe, ale dokonca aj v skriptikoch. pomocou specialnej url si mozete pozriet spravu bez znalosti hesla. staci vediet iba cislo spravy a meno...

ked niekto zbada article s timto textom zasa si povie ze naka lamerina. mno tentoraz to nie je nic prevratne, ale treba sa s tym trosku pohrat. nas microsoft zasa raz cosi nezvladol. ale na druhej strane musim uznat. ze to nove uzivatelske prostredie je v celku fajn.

pozrime sa ako nato:

takto vyzera zakladna url v hotmaily, po prihlaseni

http://lw2fd.hotmail.msn.com/cgi-bin/saferd? _lang=EN&hm___tg=http%3a%2e4%2e36%2e250250%2fcgi%2dbin%2fgetmsg&hm___qs=%26msg% 3dMSG*********% e(X)X%26start%3d1%26len%3d99999999999%26login%3dMENO%26domain%3dhotm ail%2ecom

takze za MENO nam staci doplnit login (teda MENO@hotmail.com) a za 9 hviezdiciek, cislo spravy. no a tu je asi najvecsi kamen urazu. ako zistit cislo spravy ? tak to bude trosku problem. je dost tazke cez tuto chybu pozerat maily nejako cielene. ide skor o nahodu. mno a tym mudrejsim zaplo, co takto taky maly brute force atack ? nasi mili softwerovi developeri uz nevahali a rovno nam ho naprogramovali: tu su mozete tuto vecicku stiahnut. na vyuzivanie tehto maleho bugiku treba mat este registrovane konto na hotmaily. co nenni ziaden problem.

ako zistit ci tato chyba este funguje:
jednoducho. na jednom svojom konte si otvorte spravu a zapiste si url. potom sa prihlaste do druheho a vpiste tam potreben parametre. teda meno prveho konta a cislo tej prvej spravy. a budete si ju moct krasne precitat.

the endos
ale POZOR. neziskate tym vobec ziaden pristup na mail. ked kliknete hocikde na stranku, presmeruje vas to nazad na vase prave konto. tot vse. rozmyslam teda aky vyznam ma tento bug ? niektori odbornici sa vyjadrili ze ide o dost velku chybu z hotmailu. ja si skor myslim, ze je to len taky maly dalsi poplach.
nic velkeho. ved koho predsa bavi niekomu citat postu ??? male deti a ziarlivych manzelov. lol

odkaz na presny popis utoku pre tyx nechapavych:
http://rootcore.can-host.com /files/hackhotmail.txtmis0 truban