Jump to content

Recommended Posts

Forse ho capito anche come hanno agito per avere la stringa corretta senza andare di "brute" bruteforce.

 

Qualcuno di voi ha nelle vecchie email qualche ID di cambio password da donare alla causa? Vi basta cercare nelle vostre email quelle che iniziano per "Password associata" :)

 

Ovviamente ho postato suddetta analisi perché adesso il sistema è cambiato, non mi sono messo a far test ma spero che adesso sia robusto...

Share this post


Link to post
Share on other sites

Hanno almeno inserito un captcha per evitare i bruteforce e/o un ritardo temporale? Già mettere 2-3 secondi di attesa prima di dare l'esito, blocca ogni sorta di bruteforce.

Share this post


Link to post
Share on other sites
Hanno almeno inserito un captcha per evitare i bruteforce e/o un ritardo temporale? Già mettere 2-3 secondi di attesa prima di dare l'esito, blocca ogni sorta di bruteforce.

 

Nothing, o vedi la paginetta di errore o quella di cambio pwd. Ho controllato che almeno non rispondessero 403/404 come status code HTTP, quello almeno non lo fanno o ti bastava una richiesta head per capire se il codice era valido :)

 

Se qualcun altro ha ID da confrontare posso avere un pizzico di sicurezza in più e vi espongo la mia teoria su come hanno eseguito l'attacco ;)

Edited by Antonio

Share this post


Link to post
Share on other sites
Roba del 2008 e di 2 account diversi:

 

ID10091407121813420410639819

ID10392854121813420410589207

 

le prime 2 lettere del nic handle quali sono?

 

PS: ma le hai fatte nello stesso secondo?

Share this post


Link to post
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
Sign in to follow this  

×