Loo Опубликовано 17 декабря, 2007 Поделиться Опубликовано 17 декабря, 2007 Достаточно часто, возникают вопросы «Можно ли сломать почту там-то, сям-то» и т.п. Честно сказать, а я не знаю :о)) Зависит от бюджета :о)) После некоторых недавних событий, я чего-то подумал и решил заняться небольшим ликбезом. Итак, какие опасности возникают, когда Вы пользуетесь почтой корпоративной удаленно? Множество сисадминов, ответит: минимальные. [Ну-ну – это был «голос за кадром» :о))] Я не сисадмин, мне таким уверенным быть никак невозможно :о)) Сисадмины грят: «Нам пофигу, у нас стоит https! Защишенный канал, нах!» [голос за кадром: «Ну конечно! У тех у кого не https, те воопче лохи и ламерье! Хехе»] 90% корпоративных почтовых систем используют продукт великой (в смысле большой) компании Мелкомягко, который зовется Exchange. Доступ в таком случае происходит через специальную настройку, которая называется Outlook Web Access, посредством использования обыкновенного браузера Интернета. Давайте глянем, как это на самом деле выглядит обращение к «приаттаченному файлу» к письму: https://pochta.x*****.ru/exchange/Alex.*********/ /%D0%92%D1%85%D0%BE%D0%B4%D1%8F%D1%89%D0%B8%D0%B5/%D0%A0%D0%B0%D0%B1%D0%BE%D1%87%D0%B8%D0%B9%20%D0%BF%D0%BB%D0%B0%D0%BD%20%D0%BF%D0%BE%20%D0%A0%D0%A6.EML/2007-12-12%20%D0%9F%D0%BB%D0%B0%D0%BD_%D0%A0%D0%A6-%D0%A1%D0%B5%D1%80%D0%B2%D0%B8%D1%81%D0%BD%D1%8B%D0%B9%20%D1%86%D0%B5%D0%BD%D1%82%D1%80.doc/C58EA28C-18C0-4a97-9AF2-036E93DDAFB3/2007-12-12%20%D0%9F%D0%BB%D0%B0%D0%BD_%D0%A0%D0%A6-%D0%A1%D0%B5%D1%80%D0%B2%D0%B8%D1%81%D0%BD%D1%8B%D0%B9%20%D1%86%D0%B5%D0%BD%D1%82%D1%80.doc?attach=1 Страшно правда? Ухх, аж жуть берет :о)) На самом то деле, это что-то типа: https://pochta.x*****.ru/exchange/Alex.****...одящие/Название письма.EML/ 1_multipart_xF8FF_2_Имя_прикрепленного_файла.doc/ C58EA28C-18C0-4a97-9AF2-036E93DDAFB3/имя_прикрепленного_файла.doc?attach=1 Да-да! :о)) [голос за кадром: «Yes-yes …ОБхсс!»] Особенно важным является вот этот фрагмент C58EA28C-18C0-4a97-9AF2-036E93DDAFB3. Если в ехчейндже включен доступ к Outlook Web Access через https, но не розданы сертификаты, он почти всегда, будет ровно таким! Даже если мы с Вами пользуемся, разными Ексчейнджами, и вообще друг друга не знаем. То есть сей адрес формируется как: https://почта.ру/exchange/<username>/Inbox/<email-subject>.EML/1_multipart_xF8FF_2_<attachment-filename.extension> Во-как! То есть все просто. Username(имя пользователя), мы можем получить из адреса письма контрагента. Берем его письмо, и отсекаем все, что стоит до собачки, она же atstake :o)) Ну а дальше формируем ему письмо, такое чтобы он открыл и прочел, вставляем в письмо файл html. Типа вот так: https://pochta.x*****.ru/exchweb/bin/auth/o...t-filename.html Ну а дальше мы должны его перенаправить на НАШУ страницу, с надписью типа: Warning: An error has occurred. Please try logging in again, и выглядящей как стандартная страница логина OutlookWebAccess. Это просто, об этом я уже както писал :о)) Да-да! Конечно же! Аутлук будет ругаться, на все script’ы, и все-такое. Но чистый html, так называемый plain html он пропустит, а вместе с ним и action из forms, ну единственное поменяет метод с POST на GET, а так он поле формы password Отправит как милый :о)) Отправлять письмо следует очень верно и грамотно, чтобы излишне пугливый контрагент не испугался и не убил бы приаттаченный файл. Ну например «Александр! Как ВЫ можете мне обьяснить, что «это»? Прикладываю файл с ВАШЕГО официального сайта! Я специально снял копию» Ну это все так сказать, основы. Просто попробуйте у себя все вышенаписанное. Раскрывать дальнейшее в открытом доступе смысла не вижу :о)) owalogon.asp.htm Ссылка на комментарий Поделиться на другие сайты More sharing options...
vbl Опубликовано 17 декабря, 2007 Поделиться Опубликовано 17 декабря, 2007 Уважаемый модератор. Как бы мне скачать вышеуказанный файл. Система выдает сообщение об ошибке. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Vinni Опубликовано 18 декабря, 2007 Поделиться Опубликовано 18 декабря, 2007 Достаточно часто, возникают вопросы «Можно ли сломать почту там-то, сям-то» и т.п. Честно сказать, а я не знаю :о)) Зависит от бюджета :о)) После некоторых недавних событий, я чего-то подумал и решил заняться небольшим ликбезом. :smile20: Ну а дальше мы должны его перенаправить на НАШУ страницу, с надписью типа: Warning: An error has occurred. Please try logging in again, и выглядящей как стандартная страница логина OutlookWebAccess. А как быть со строкой адреса, который будет отличаться от настоящего? :smile3: Ссылка на комментарий Поделиться на другие сайты More sharing options...
Loo Опубликовано 19 декабря, 2007 Автор Поделиться Опубликовано 19 декабря, 2007 Тут несколько случаев, во-первых мне сложно пердставить себе человека, который будет символьную кодировку в строке переводить :о)) Во-вторых, вполне реально устроить например спуфинг странички, dns-rebinding И еще много разных слов страшных. Все зависит от бюджета. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Заархивировано
Эта тема находится в архиве и закрыта для дальнейших ответов.