Мну нашел серьезную уязвимость на сайте WMMail. Злоумышленник может получить доступ к аккаунту если жертва перейдет по специально подготовленой ссылке. Учитывая то, что в серфинг можно отправлять странички самого же WMMail'a, считаю эту уязвимость очень опасной.
Для успешной атаки должна быть выключена дополнительная защита (это когда при входе с другого IP запрашивается пароль для операций). Так что не ленитесь, включайте эту фичу.
Используя эту уязвимость можно получить даже пароль для входа, но не пароль для операций.
P.S. Может мне заняться инспектированием по безопасности почтовиков? Проверить хотяб WSC.
MBell как ты на это смотришь?
P.P.S Админу WMMail я конечно написал о найденой уязвимости, но на данный момент он молчит как рыба об лед (видимо пиво зажилил
). Предполагаю, что он сейчас судорожно ищет дыру, чтобы заделать ее самому. Не лучший вариант сотрудничества. Ведь в следующий раз я могу и подмочить его репутацию, ограбив полтыщщи аккаунтов
Менделеев, проснувшись от кошмара, подумал: "Всё, больше никакой химии! Перехожу на водку!"
*бурные апплодисменты, переходящие в овацию.