1. Куча / Говнокод #6061

    +130

    1. 01
    2. 02
    3. 03
    4. 04
    5. 05
    6. 06
    7. 07
    8. 08
    9. 09
    10. 10
    11. 11
    12. 12
    13. 13
    14. 14
    15. 15
    16. 16
    17. 17
    18. 18
    19. 19
    20. 20
    21. 21
    22. 22
    23. 23
    24. 24
    25. 25
    26. 26
    27. 27
    28. 28
    29. 29
    30. 30
    31. 31
    32. 32
    33. 33
    34. 34
    35. 35
    36. 36
    37. 37
    38. 38
    39. 39
    40. 40
    41. 41
    POST /a/my-domain.com/accounts/ClientLogin HTTP/1.1
    Host: www.google.com
    User-Agent: Drakma/1.2.3 (SBCL 1.0.29.11.debian; Linux; 2.6.32-30-generic; http://weitz.de/drakma/)
    Accept: */*
    Connection: close
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 97
    
    HTTP/1.1 301 Moved Permanently
    Location: /a/cpanel/my-domain.com/accounts/ClientLogin
    Content-Type: text/html; charset=UTF-8
    Content-Length: 223
    Date: Tue, 22 Mar 2011 12:44:53 GMT
    Expires: Tue, 22 Mar 2011 12:44:53 GMT
    Cache-Control: private, max-age=0
    X-Content-Type-Options: nosniff
    X-XSS-Protection: 1; mode=block
    Server: GSE
    Connection: close
    
    ;;; Ну ладно, попробуем еще раз...
    
    POST /a/cpanel/my-domain.com/accounts/ClientLogin HTTP/1.1
    Host: www.google.com
    User-Agent: Drakma/1.2.3 (SBCL 1.0.29.11.debian; Linux; 2.6.32-30-generic; http://weitz.de/drakma/)
    Accept: */*
    Connection: close
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 97
    
    HTTP/1.1 404 Not Found
    Cache-Control: no-cache, no-store, max-age=0, must-revalidate
    Pragma: no-cache
    Expires: Fri, 01 Jan 1990 00:00:00 GMT
    Date: Tue, 22 Mar 2011 12:46:32 GMT
    Content-Type: text/html; charset=UTF-8
    X-Content-Type-Options: nosniff
    X-Frame-Options: SAMEORIGIN
    X-XSS-Protection: 1; mode=block
    Server: GSE
    Connection: close

    Шутники, однако :)

    Запостил: wvxvw, 22 Марта 2011

    Комментарии (10) RSS

    • Вам бы следовало опустить незначащие заголовки, а то глаза можно сломать пока найдешь в чем прокол.
      Ответить
      • На самом деле... все было еще хуже :) Я по недосмотру посылал один неправильный параметр, но сервис вместо того, чтобы сказать, что параметр неправильный слал редиректы на несуществующую ссылку, что намекает на то, что где-то там в коде этого сервиса должно быть что-то эдакое, необычное :)

        Если в двух словах:
        Пробуем логинится сюда:
        www.google.com/a/my-domain.com/accounts/ClientLogin

        А нам отвечают, что страницы / сервиса таких больше нет (хотя есть), и посылают сюда:
        www.google.com/a/cpanel/my-domain.com/accounts/ClientLogin

        А вот это уже какой-то сфабрикованый адрес, его и не было никогда. Соответсвенно получаем 404.
        Запостил все заголовки, чтобы не возникало вопросов в подлинности и т.п.
        Ответить
        • Говногуглоголовок.
          Ответить
        • он еще так может реагировать, если вы че-то неправильно сделали (куку не поставили, или параметр неправильный) и гугол заподозрил в вас горе-хакера и притворяется бедным родственником.
          Ответить
          • думается мне, что User-Agent слишком незаурядный.
            Я обычно ставлю "Mozilla/5.0" и не парюсь.
            Ответить
            • не знаю как сейчас, раньше вообще мода была юзерагент проверять на IE-семейство
              Ответить
    • X-XSS-Protection: 1
      я чувствую себя в безопасности
      Ответить
      • вам следует чувствовать в безопасности Гугл
        Ответить
      • Если чесно, для меня загадка, зачем он мне заголовки от МСИЕ присылает, ну как бы мне не жалко, ну блок, так блок :)
        Ответить
      • Что за XXX-Protection? Прон не пройдет?
        Ответить

    Добавить комментарий