- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Всё началось с того, что у меня наконец появилась абсолютная необходимость зарегистрировать себе личный Skype для общения с очень капризным англоязычным заказчиком. Буржуй не хотел даже слышать аргументов о том, что Skype плохо подходит для текстовых сообщений. Объяснял и что сообщение в оффлайн нормально не отправить, и Prism с АНБ пытался пугать - ничего так и не помогло.
Ладно, пришлось смириться с обстоятельствами, полез регистрироваться. И вот что я увидел:
Итак, Microsoft убеждает нас, что логин нам просто необходим не короче 6 и не длиннее 32 символов, должен начинаться с буквы и не может содержать ничего кроме букв и цифр. Замечательно, опять эта уникальнейшая забота о пользователях с 5-буквенными никами. Стало немного грустно, но это же Microsoft, подумал я, неужели они вот так вот прямо взяли и сделали фильтрацию логина по белому списку? Да не может такого быть, индусы простой код писать не умеют :)
Посмотрев на AJAX-запрос для проверки логина, я написал скрипт, который добавлял к моему нику все возможные ASCII-символы по одному и отправлял логин на проверку. Скрипт выдал в лог следующие символы, которые не давали ошибок:
ну и символ перевода строки с шестнадцатеричным кодом 10.То есть мы можем зарегистрировать себе Skype вида "tavel.", "tavel--", "tavel_._" и т.п., а не только "буквы и цифры", как пытается убедить нас Microsoft.
Странно только почему не фильтруются угловые скобки. Например, проходят валидацию логины "taveltavel<test>" или даже "taveltavel</^%^$&^(&)>", а логин "tavel<test>" скрипт считает слишком коротким, то есть ни длина, ни содержимое угловых скобок при проверке не учитываются. Я уже подумал, что сейчас какую-нибудь активную XSS раскопаю, но меня ждал облом - логины с угловыми скобками валидны только при AJAX-проверке, зарегистрировать их не получится, будет ошибка.
В общем, это конечно не победа, 5-символьный логин я так и не получил, но зарегал довольно сносный ник с точкой на конце:
Возможно, кому-то пригодится эта информация, а кого-то может и натолкнет на дальнейшие исследования. Спасибо за внимание.
Возможно, кому-то пригодится эта информация, а кого-то может и натолкнет на дальнейшие исследования. Спасибо за внимание.
на какие например?
Ну теперь кидалам есть, где развернуться. Ещё прикольнее будут ники поделывать, точки в конце ставить, запятые.
Теперь ждем не менее интересную инфу о заказчике и его компьютере 🍿
Ну теперь кидалам есть, где развернуться. Ещё прикольнее будут ники поделывать, точки в конце ставить, запятые.
Этот способ тут мошенникам еще в марте подсказали и даже тему закрепили /ru/forum/780208 😂
Этот способ тут мошенникам еще в марте подсказали и даже тему закрепили /ru/forum/780208 😂
Сорри, поиск юзал, не нашлось. Ну значит моя заметка расширила возможности, теперь не только точки на конце будут встречаться :)
Теперь ждем не менее интересную инфу о заказчике и его компьютере 🍿
Сарказм уловил :) Но у этого буржуя даже компьютера нет. Он с одним айпадом умудряется деньги в сети зарабатывать.
Ну теперь кидалам есть, где развернуться. Ещё прикольнее будут ники поделывать, точки в конце ставить, запятые.
спасибо за подсказку 🍻
Возможно, кому-то пригодится эта информация, а кого-то может и натолкнет на дальнейшие исследования. Спасибо за внимание.
инфа не годится для хабра? не беда! есть сёрч! :)
инфа не годится для хабра? не беда! есть сёрч! :)
Ну так и есть :) А в чем проблема? Если бы в итоге наковырялась какая-нибудь уязвимость, был бы шикарный пост на хабре. Но и хоронить полезную информацию в себе зачем? Лучше знать, чем не знать.
Года три уже как юзаю скайп с точкой в логине. Например, если логин с адресом твоего сайта совпадает - очень удобно.
У меня уже год как логин с точкой. Я даже не читал хинта, взял и зарегистрировал. А вы, наверное, много времени на такую ерунду потратили. 😂
Нацик или новая лихорадка на смену фотографиям ног? :)