Кто тут... кто тут, к примеру, в цари крайний?! Никого?!! Так я первый... буду! Падал прошлогодний снег.
|
Ты когда-нибудь задумывался, зачем нужен Интернет? Три года назад, когда я первый раз вышел в Сеть, я задался именно эти вопросом. И получил примерно такой список:
На большее меня тогда не хватило. Только много позже стало понятно, что Инет нужен для того, чтобы его вскрывать :)). С первыми тремя пунктами проблем не возникло: винчестер потихоньку набивался эротикой и не только эротикой, регулярно отыскивались мегабайты текстов Желязны, Шекли и Азимова, а три часа в день уходило на болтовню с диванщиками. А вот с четвертым пунктом вышла неувязочка - нарисовать свою страничку, вывесить ее куда-то, да сделать так, что бы на нее заходили мне было явно не по силам. И тут на Диване мне подсказали, что в Интернете есть сервера знакомств, а самый клевый из них - Фортуна.
Не долго думая я зашел на этот сервер и оставил свое объявление, где сообщал, что с удовольствием познакомлюсь с привлекательной девушкой и буду совсем не против, если она захочет со мной... э... Ну это давно было - я до конца текст объявления не помню ;)). В конце объявления E-mail и три фотографии - на одной я с хаером 30 см., на другой с косой, а на третьей - лысый.
После того, как я завел свое объявление, мне захотелось проявить инициативу - самому поискать будущую подругу. Критерии поиска были примерно такие: Москвичка, 16-28 лет, с фотографией, ищущая интимных отношений.
В ответ мне вылетело ~40 претенденток, и я стал читать объявления. К моей радости, у большей половины девиц оказались домашние странички. Я выбрал самую привлекательную особу и щелкнул по ссылке, ведущей на ее homepage. Никакой девушки я там не увидел, так как попал на сайт туристической фирмы. Вот облом, подумал я и открыл следующее объявление. Следующее привело меня на порносервер с любительскими фотами. Один раз - случайность, два - совпадение. В третьем объявлении был телефонный номер и ICQ номер. Однако владелица UIN'a почему-то звалась Сергеем. Три совпадения - это уже закономерность. Но я открыл следующее и попал.... на модельный сайт. Четыре совпадения - это закон вредности. Мне захотелось найти тех предприимчивых пельменей, которые решили сыграть на моей неудовлетворенной тяге к прекрасному, или хотя бы удалить объявления-обманки. Однако ничего подобного я делать не умел и, обидевшись на злачное место, забыл о нем на два или три года.
А вчера (тут надо учесть, что статья писалась в двадцатых числах сентября) мне пришло письмо от администратора Фортуны, что мое объявление через десять дней будет снято, так как истекает срок его действия. И у меня есть возможность его продлить. Ссылка на страницу входа в техцентр, номер объявления и пароль прилагаются. Щелкнул я на ссылке, ввел номер объявления скопировал из буфера в нужное место, а Фортуна говорит, что пароль не верный - что за ерунда?.. Рядом с кнопкой "Получить доступ" находилась кнопка "Повторить письмо о регистрации". Жму на ней, проверяю почтовый ящик - пришло письмо с паролем. Ввожу его в форму доступа - опять "Пароль не верный". И тут я понимаю, что длина окошка для пароля - 8 символов, а мой пароль - 13. Кстати, его мне автоматически выдали при регистрации объявления.
Здравствуйте, Киби! Напоминаем, что до окончания публикации Вашего объявления на сервере знакомств "Фортуна" осталось менее 10 дней. Вы можете продлить действие вашего
объявления на специальной странице, по адресу: http://www.fortune.ru:8000/users.phtml Если объявление не будет продлено до 1999-09-28, оно будет автоматически удалено с сервера. По всем вопросам, связанным с функционированием нашего сервера, вы можете обратиться к нам, по адресу dina-admin@mail.ru С уважением, Администрация Сервера |
Ладно, думаю, что я, в Хакере работаю, и такой произвол оставлю без внимания? Сохранил страничку доступа в файл на рабочем столе, исправил строку:
А вот тут начинается самое интересное - из центра управления можно вызвать редактирование, удаление, продление объявления и его блокировку. И все это без пароля! То есть, пароль нужно вводить только один раз - при входе в ЦУП. Чтобы проверить свои соображения я сохранил ЦУП в HTML файл, дополнил пути отсылки в формах до полных, и открыл модифицированный ЦУП с рабочего стола. Все возможности сохранились! Осталось только залезть в файл и переделать скрытые поля с моим идентификационным номером в открытые текстовые. В итоге получился короткий файл с одной кнопкой "Редактировать объявление" и полем для учетного номера.
В начале его стоят тэги <META>, которые вводят в заблуждение сервер Фортуны: он думает, что запрос идет из его зоны, а не с удаленного компьютера. После подобной переделки формы доступа к объявлению, стало возможным отредактировать любую объяву, не зная от нее пароля. А потом можно изменить E-mail адрес в объявлении и отослать на него пароль - эта функция совершенно легальная.
Тут я вспомнил свою обиду трехлетней давности, нашел пару-тройку "нечестных" объявлений, получил к ним доступ и с чувством глубочайшего удовлетворения нажал кнопку "Удалить объявление". M.J.Ash подтвердит! Кстати о Ash'e - он разузнал маленький такой, но очень многозначный фактик.
При наборе в броузере адреса http://www.fortune.ru, ты попадешь на адрес http://www.fortune.ru:8000. А если ты наберешь цифровой эквивалент имени Фортуны, то зайдешь на сервер Фортуны не через восьмитысячный порт, а через порт по умолчанию. А там тебя ждет мега портал порно серверов http://cotac.com. Вкратце, ситуация выглядит так:
Из этого факта вытекают два предположения:
Пока M.J.Ash обнаруживал истинную личину сервера http://207.106.34.170, я сверстал страничку, зайдя на которую ты можешь быстро и удобно получить доступ к любой объяве. К сожалению, информация в сейчас устарела (админ Фортуны закрыл дыру), а потому из Интернета я эту страницу удалил. Однако дырой успело воспользоваться около сотни человек, с чем их и поздравляю.
Кстати, дыра подобного типа была обнаружена на всемирно известном онлайновом почтовом сервере Hotmail. Дыра заключалась в том, что хотя пароль и проверялся на суперсекретном сервере, по суперсекретным протоколам, проверялся он только при входе. Однако пока гром не грянет, большинство админов живут надеясь непонятно на что. Наверное на то, что все кроме них - ламеры, журналов не читают и новостей не слушают.
В день выхода этого номера журнала в продажу я отослал письмо администратору Фортуны с описанием его дыры. Может он успел ее заделать, а может еще нет - попробуй проверить сам. И не смотря ни на что, Фортуна еще одним способом подтвердила свое название: "Общедоступный Сервер Знакомств". Воистину общедоступный. Кстати, а ты проверил свое объявление?