Яндекс: читаем почту в спартанских условиях

Discussion in 'Новогодний Видео-Конкурс [2014-2015]' started by BigBear, 23 Feb 2015.

  1. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,772
    Likes Received:
    843
    Reputations:
    857
    _________________________
    4 people like this.
  2. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,772
    Likes Received:
    843
    Reputations:
    857
    Заодно отвечу на немой вопрос, но заданный на другом форуме:

    Совершенно верно. Таким способом Вам не взломать чужой аккаунт. Как минимум живые кукисы Вам всё равно понадобятся. Как их угонять - ваша забота.

    Если бы был способ читать письма в обход авторизации, можно было бы стать миллионером уже =)

    Самая примитивная ситуация, в которой сработает данный способ: у вас оказались куки человека из другой страны, города, в общем Яндекс запрашивает у вас подтверждение номера или ещё какие то данные; но кукисы при этом живые.

    Вы можете вставить кукисы в парсер и прогнать по диапазону. Подтверждение для этого поддомена не требуется.

    Недостаток: неизвестное начальное и конечное значение диапазона.

    И это, пожалуй, единственная загвоздка как настроить парсер. Может Вы что-нибудь придумаете. Я пока не придумал.
     
    _________________________
  3. YaBtr

    YaBtr Members of Antichat

    Joined:
    30 May 2012
    Messages:
    601
    Likes Received:
    350
    Reputations:
    652
    Можно было и не пояснять, все прозрачно.
    Находка интересная, но сыровата, наверное, чуть больше времени, и вылилось бы во что-нибудь интересное.
    В любом случае, работа настандартная и нешаблонная.
    Спасибо за участие! :)
     
  4. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,772
    Likes Received:
    843
    Reputations:
    857
    Уже навряд ли. Я копал это не один, хотя бага моя. Часть баги на данный момент заблаговременно пофиксена Яндексом. Поэтому это видео и выложено в паблик.
     
    _________________________
    1 person likes this.
  5. Onths

    Onths New Member

    Joined:
    3 May 2012
    Messages:
    57
    Likes Received:
    2
    Reputations:
    -4
    Интересное видео, я бы связал это с введением недотестированных фич на прод.
    Также доставляет отсутствие репчика на фоне.
    Можно в приват/топик названия первых четырех плагинов, которые светятся в Хроме?
    В конце видео в нескольких потоках шли реквесты к Яндексу, с этим никаких проблем не наблюдалось? Аля капчи, или сброс валидности сессии?
     
  6. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,772
    Likes Received:
    843
    Reputations:
    857
    ZenMate, RUMOLA Bypass Captcha, Test IE (test sites as IEXplorer 8), Edit This Cookie.

    Пока сессия жива в браузере (ну или частично жива как на видео) - проблем никаких нет, ни принудительного сброса сессии, ни капчи. Многопоток в PoC работает не идеально. Но на то это и PoC, чтобы рабочий вариант вы сами допиливали.

    Но на момент снятия видео было обнаружено 100% писем из того диапазона, что я указал.
     
    _________________________