1. Куча / Говнокод #6061

    +130

    1. 01
    2. 02
    3. 03
    4. 04
    5. 05
    6. 06
    7. 07
    8. 08
    9. 09
    10. 10
    11. 11
    12. 12
    13. 13
    14. 14
    15. 15
    16. 16
    17. 17
    18. 18
    19. 19
    20. 20
    21. 21
    22. 22
    23. 23
    24. 24
    25. 25
    26. 26
    27. 27
    28. 28
    29. 29
    30. 30
    31. 31
    32. 32
    33. 33
    34. 34
    35. 35
    36. 36
    37. 37
    38. 38
    39. 39
    40. 40
    41. 41
    POST /a/my-domain.com/accounts/ClientLogin HTTP/1.1
Host: www.google.com
User-Agent: Drakma/1.2.3 (SBCL 1.0.29.11.debian; Linux; 2.6.32-30-generic; http://weitz.de/drakma/)
Accept: */*
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 97

HTTP/1.1 301 Moved Permanently
Location: /a/cpanel/my-domain.com/accounts/ClientLogin
Content-Type: text/html; charset=UTF-8
Content-Length: 223
Date: Tue, 22 Mar 2011 12:44:53 GMT
Expires: Tue, 22 Mar 2011 12:44:53 GMT
Cache-Control: private, max-age=0
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Server: GSE
Connection: close

;;; Ну ладно, попробуем еще раз...

POST /a/cpanel/my-domain.com/accounts/ClientLogin HTTP/1.1
Host: www.google.com
User-Agent: Drakma/1.2.3 (SBCL 1.0.29.11.debian; Linux; 2.6.32-30-generic; http://weitz.de/drakma/)
Accept: */*
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 97

HTTP/1.1 404 Not Found
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: Fri, 01 Jan 1990 00:00:00 GMT
Date: Tue, 22 Mar 2011 12:46:32 GMT
Content-Type: text/html; charset=UTF-8
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
Server: GSE
Connection: close

    Шутники, однако :)

    Запостил: wvxvw, 22 Марта 2011

    Комментарии (10) RSS

    • ava scalar4eblo4no 22.03.2011 18:27 # +2

      Вам бы следовало опустить незначащие заголовки, а то глаза можно сломать пока найдешь в чем прокол.
      Ответить

      • ava wvxvw 22.03.2011 22:08 # 0

        На самом деле... все было еще хуже :) Я по недосмотру посылал один неправильный параметр, но сервис вместо того, чтобы сказать, что параметр неправильный слал редиректы на несуществующую ссылку, что намекает на то, что где-то там в коде этого сервиса должно быть что-то эдакое, необычное :)

        Если в двух словах:
        Пробуем логинится сюда:
        www.google.com/a/my-domain.com/accounts/ClientLogin

        А нам отвечают, что страницы / сервиса таких больше нет (хотя есть), и посылают сюда:
        www.google.com/a/cpanel/my-domain.com/accounts/ClientLogin

        А вот это уже какой-то сфабрикованый адрес, его и не было никогда. Соответсвенно получаем 404.
        Запостил все заголовки, чтобы не возникало вопросов в подлинности и т.п.
        Ответить

        • ava istem 22.03.2011 23:32 # +1

          Говногуглоголовок.
          Ответить

        • ava Lure Of Chaos 23.03.2011 13:51 # 0

          он еще так может реагировать, если вы че-то неправильно сделали (куку не поставили, или параметр неправильный) и гугол заподозрил в вас горе-хакера и притворяется бедным родственником.
          Ответить

          • ava Мистер Хэнки 25.03.2011 23:53 # 0

            думается мне, что User-Agent слишком незаурядный.
            Я обычно ставлю "Mozilla/5.0" и не парюсь.
            Ответить

            • ava Lure Of Chaos 26.03.2011 11:31 # 0

              не знаю как сейчас, раньше вообще мода была юзерагент проверять на IE-семейство
              Ответить

    • ava bugmenot 22.03.2011 23:06 # −1

      X-XSS-Protection: 1
      я чувствую себя в безопасности
      Ответить

      • ava da4ever 22.03.2011 23:33 # 0

        вам следует чувствовать в безопасности Гугл
        Ответить

      • ava wvxvw 23.03.2011 00:08 # 0

        Если чесно, для меня загадка, зачем он мне заголовки от МСИЕ присылает, ну как бы мне не жалко, ну блок, так блок :)
        Ответить

      • ava nil 24.03.2011 23:46 # −2

        Что за XXX-Protection? Прон не пройдет?
        Ответить

    Добавить комментарий