GrabDuck

Добрый-добрый блог | Как полезно иногда пользоваться сниффером

:

Да, полезно. А еще полезно быть в курсе новостей)
Например Mail.ru Agent. В апреле вышла версия 5.8 с поддержкой протокола XMPP. Кроме того в своём блоге на habrahabr Mail.ru Group было заявлено следующее:

идея заставлять пользователя вводить в настройках Mail.Ru Агента некие «магические» идентификаторы (с которыми он никогда не сталкивается в повседневной жизни) показалась нам неудачной, так что мы сразу решили поддержать авторизацию в XMPP по тем же логину и паролю, которые используются для авторизации на вебе.

Со Вконтактом все оказалось просто – мы связались с нашими коллегами, и они предоставили нам простой API, возвращающий idXXXX по «вебовому» логину/паролю.
О! Mail Agent связывается с ВКонтакте по какому-то API. Устанавливаем агент, запускаем, включаем снифер и пытаемся добавить учётную запись ВКонтакте с неверным паролем (в диалоге добавления есть удобная кнопочка «Проверить учетную запись»):

Снифер

Снифер

Ожидаемо появилась надпись, сообщающая, что пароль неверен. Снифер показывает, что Агент делает запрос на получение токена, а затем запрос с логином (email) и подписью (digest). Очень жаль, т.к. определить, как формируется подпись (а наверняка это хэш пароля, токена и возможно еще какого-то ключа в самом Агенте) вряд ли получится. Казалось бы ничего отсюда выудить нельзя. Ан нет. Попробуем ввести email, на который заведомо не зарегистрирован аккаунт:

Снифер

Совсем другой текст ответа, сообщающий, что email не подтвержден (not confirmed). Пробуем теперь накидать программу, имитирующую запрос Mail.ru Agent’а.
Как и следовало ожидать при отправке корректного email’а ответом придет «неверная подпись запроса», а если отправить некорректный email, то придет «Email not confirmed«. Значит что сервер сначала проверяет есть ли такой email в базе, а лишь потом — подпись запроса.
Таким образом, можно легко определять, зарегистрирован ли такой email (логин) во ВКонтакте или же нет.

Еще одна интересная программа: Digsby, клиент для общения через ICQ, GMail, Live Messenger, Yahoo ID и т.д.
Начнем с ICQ. Выбираем этот тип аккаунта, вводим данные, сохраняем, смотрим:

Снифер

Снифер

Видим вариант авторизации для ICQ. Хотя ничего интересного он не несёт.

Live Messenger (email’ы live.com, hotmail.com и т.д.). Здесь два запроса. Хотя возможно первый и не требуется) Не стал дальше копаться. Может быть возможен и брут.

Снифер

Дальше GMail. Вводим, сохраняем смотрим:

Снифер

Снифер

Один единственный запрос без всяких токенов и т.д. Удобно для брута. Правда бан не заставит себя ждать, но ведь это не проблема, если использовать прокси). При неверных данных сервер вернет код 403, а при верных в ответе будут параметры SID и LSID.

Остальные (Twitter и Yahoo) не так интересны из-за защитных токенов в запросах.

Ну и на десерт исходник программки, которая показывает, зарегистрирован ли введенный email ВКонтакте и верна ли пара email-пароль для GMail.

Снифер

Скачать исходник