Статус
нашего
сайта:
ICQ Secrets Center is Online ICQ Information Center


Ошибка в ICQ Command.
Была обнаружена следующая ошибка: когда Internet Explorer получает данные типа "Content-Type: application/x-icq" от веб-сервера, и следующее содержание страницы:

[ICQ User]
UIN=<useruin>
Email=
NickName=
FirstName=
LastName=

где <useruin> - ICQ UIN пользоватея ICQ, Internet Explorer автоматически закачает содержимое и заставит ICQ добавить пользователя в контакт лист.

Таким образом, веб-мастер, к примеру, может создать страницу, при просмотре который каждому посетителю с ICQ будет добавляться его номер в контакт лист. Причём, это будет работать в любой программе, которая использует для просмотра содержимого IE.

Но самое интерестное заканчивается не тут. Дело в том, что используя Java Script можно создать страницу, зайдя на которую пользователю добавятся сотни других юзеров. Они все смешаются и пользователь не сможет узнать, ктоже был реально добавлен, а кто попал к нему в контакт из-за ошибки.

Кстати это очень хороший способ узнать кто сидит сейчас на Вашем сайте, так как при открытии страницы к Вам будут на ICQ приходить системные сообщения "You were added" (конечно, при этом нужно поставить опцию, чтобы Вас могли добавить все в контакт лист). Таким образом можно фактически узнать и e-mail пользователя, его имя, место проживания (зависит от заполнения пользователями user details), даже если пользователь сидит за сотней прокси + firewall.

Другой простой способ добавить пользователя в контакт лист при заходе на сайт состоит в том, что можно используя функцию пересылки пользователя на другую страницу и search.dll, причём сделать это намного проще:

<HTML> <META HTTP-EQUIV="REFRESH" CONTENT="0;URL=http://wwp.icq.com/scripts/search.dll?to=<uin>"> </HTML> </p>

Данный код добавит пользователю, зашедшему на страницу, номер <uin> в конакт лист.

На самом деле, даже используя столь простую ошибку, можно добиться большого результата в некоторых случаях. Например, спаммеры могут проверять валидность e-mail'ов и таким образом получать вместе с положительными "ответами" ещё и номера ICQ наивных пользователей. Пока что не найдено возможностей защититься от этого.

Именно эту статью прочитали уже 214 человек c 28 янв 2002 (момент создания)

[ Disclaimer ]