Опубликовано 17 декабря, 200718 г Достаточно часто, возникают вопросы «Можно ли сломать почту там-то, сям-то» и т.п. Честно сказать, а я не знаю :о)) Зависит от бюджета :о)) После некоторых недавних событий, я чего-то подумал и решил заняться небольшим ликбезом. Итак, какие опасности возникают, когда Вы пользуетесь почтой корпоративной удаленно? Множество сисадминов, ответит: минимальные. [Ну-ну – это был «голос за кадром» :о))] Я не сисадмин, мне таким уверенным быть никак невозможно :о)) Сисадмины грят: «Нам пофигу, у нас стоит https! Защишенный канал, нах!» [голос за кадром: «Ну конечно! У тех у кого не https, те воопче лохи и ламерье! Хехе»] 90% корпоративных почтовых систем используют продукт великой (в смысле большой) компании Мелкомягко, который зовется Exchange. Доступ в таком случае происходит через специальную настройку, которая называется Outlook Web Access, посредством использования обыкновенного браузера Интернета. Давайте глянем, как это на самом деле выглядит обращение к «приаттаченному файлу» к письму: https://pochta.x*****.ru/exchange/Alex.*********/ /%D0%92%D1%85%D0%BE%D0%B4%D1%8F%D1%89%D0%B8%D0%B5/%D0%A0%D0%B0%D0%B1%D0%BE%D1%87%D0%B8%D0%B9%20%D0%BF%D0%BB%D0%B0%D0%BD%20%D0%BF%D0%BE%20%D0%A0%D0%A6.EML/2007-12-12%20%D0%9F%D0%BB%D0%B0%D0%BD_%D0%A0%D0%A6-%D0%A1%D0%B5%D1%80%D0%B2%D0%B8%D1%81%D0%BD%D1%8B%D0%B9%20%D1%86%D0%B5%D0%BD%D1%82%D1%80.doc/C58EA28C-18C0-4a97-9AF2-036E93DDAFB3/2007-12-12%20%D0%9F%D0%BB%D0%B0%D0%BD_%D0%A0%D0%A6-%D0%A1%D0%B5%D1%80%D0%B2%D0%B8%D1%81%D0%BD%D1%8B%D0%B9%20%D1%86%D0%B5%D0%BD%D1%82%D1%80.doc?attach=1 Страшно правда? Ухх, аж жуть берет :о)) На самом то деле, это что-то типа: https://pochta.x*****.ru/exchange/Alex.****...одящие/Название письма.EML/ 1_multipart_xF8FF_2_Имя_прикрепленного_файла.doc/ C58EA28C-18C0-4a97-9AF2-036E93DDAFB3/имя_прикрепленного_файла.doc?attach=1 Да-да! :о)) [голос за кадром: «Yes-yes …ОБхсс!»] Особенно важным является вот этот фрагмент C58EA28C-18C0-4a97-9AF2-036E93DDAFB3. Если в ехчейндже включен доступ к Outlook Web Access через https, но не розданы сертификаты, он почти всегда, будет ровно таким! Даже если мы с Вами пользуемся, разными Ексчейнджами, и вообще друг друга не знаем. То есть сей адрес формируется как: https://почта.ру/exchange/<username>/Inbox/<email-subject>.EML/1_multipart_xF8FF_2_<attachment-filename.extension> Во-как! То есть все просто. Username(имя пользователя), мы можем получить из адреса письма контрагента. Берем его письмо, и отсекаем все, что стоит до собачки, она же atstake :o)) Ну а дальше формируем ему письмо, такое чтобы он открыл и прочел, вставляем в письмо файл html. Типа вот так: https://pochta.x*****.ru/exchweb/bin/auth/o...t-filename.html Ну а дальше мы должны его перенаправить на НАШУ страницу, с надписью типа: Warning: An error has occurred. Please try logging in again, и выглядящей как стандартная страница логина OutlookWebAccess. Это просто, об этом я уже както писал :о)) Да-да! Конечно же! Аутлук будет ругаться, на все script’ы, и все-такое. Но чистый html, так называемый plain html он пропустит, а вместе с ним и action из forms, ну единственное поменяет метод с POST на GET, а так он поле формы password Отправит как милый :о)) Отправлять письмо следует очень верно и грамотно, чтобы излишне пугливый контрагент не испугался и не убил бы приаттаченный файл. Ну например «Александр! Как ВЫ можете мне обьяснить, что «это»? Прикладываю файл с ВАШЕГО официального сайта! Я специально снял копию» Ну это все так сказать, основы. Просто попробуйте у себя все вышенаписанное. Раскрывать дальнейшее в открытом доступе смысла не вижу :о)) owalogon.asp.htm
Опубликовано 17 декабря, 200718 г Уважаемый модератор. Как бы мне скачать вышеуказанный файл. Система выдает сообщение об ошибке.
Опубликовано 18 декабря, 200718 г Достаточно часто, возникают вопросы «Можно ли сломать почту там-то, сям-то» и т.п. Честно сказать, а я не знаю :о)) Зависит от бюджета :о)) После некоторых недавних событий, я чего-то подумал и решил заняться небольшим ликбезом. :smile20: Ну а дальше мы должны его перенаправить на НАШУ страницу, с надписью типа: Warning: An error has occurred. Please try logging in again, и выглядящей как стандартная страница логина OutlookWebAccess. А как быть со строкой адреса, который будет отличаться от настоящего? :smile3:
Опубликовано 19 декабря, 200718 г Автор Тут несколько случаев, во-первых мне сложно пердставить себе человека, который будет символьную кодировку в строке переводить :о)) Во-вторых, вполне реально устроить например спуфинг странички, dns-rebinding И еще много разных слов страшных. Все зависит от бюджета.
Для публикации сообщений создайте учётную запись или авторизуйтесь