Saboteur, Есть Волшебная фраза "Никогда не стоит недооценивать предсказуемость тупизны."
1. Например в почтовом обработчике для отправки почты
2. Как правило есть, даже если и нет то как правило присутствует какой то бэк
3. См. фразу в начале, причем самое забавное что есть соленый пароль а рядом в чистом виде.
Комплексный подход для анализа любого сложного продукта. Безотностительно кстати взлома. Иногда интересно как реализовали.
Alexander Burov, Вот уж даже не знаю. Ровно вчера скачал такое, партнеры умудрились пролюбить исходники. До уровня полностью разобрать конечно не вышло, но бизнес логику и ресурсы вытащить удалось.
Рекомендую https://github.com/skylot/jadx
Saboteur, Это отправная точка. Вы исследуете приложение, получаете максимум информации, потом делаете выводы и на основе этого применяете подходящие инструменты или делаете допущения, которые потом проверяете.
В ходе исследования api вы возможно найдете дыру, через нее зайдете в админку, найдете пароль админа, зайдете в его почту и получите доступ к репозиторию. Как вариант.
Maiker, Видимо да. Любой редактор который поддерживает raw. Можно даже на перле сделать утилиту. Наверно самый простой вариант будет. Главное понять алгоритм как все раскодировать.
АртемЪ, Если честно не знаю, у Домолинка такое было, может оборудование старое, может еще что то.
Так что я настраивал на роутере dyn-dns и имел вывешенный домен наружу.
Единственно по умолчанию они блокировали 25 порт.
Статический NAT — отображение незарегистрированного IP-адреса на зарегистрированный IP-адрес на основании один к одному. Особенно полезно, когда устройство должно быть доступным снаружи сети.
Динамический NAT — отображает незарегистрированный IP-адрес на зарегистрированный адрес из группы зарегистрированных IP-адресов. Динамический NAT также устанавливает непосредственное отображение между незарегистрированными и зарегистрированными адресами, но отображение может меняться в зависимости от зарегистрированного адреса, доступного в пуле адресов, во время коммуникации.
Перегруженный NAT (NAPT, NAT Overload, PAT, маскарадинг) — форма динамического NAT, который отображает несколько незарегистрированных адресов в единственный зарегистрированный IP-адрес, используя различные порты. Известен также как PAT (Port Address Translation). При перегрузке каждый компьютер в частной сети транслируется в тот же самый адрес, но с различным номером порта.
Saboteur,
Если начинаешь исследование, то хорошо бы знать вызовы системы. Вдруг там есть php includes, как пример или при аплоаде не проверяется расширение?
В ходе обзора api и узнаем какие методы можно вызвать
АртемЪ, Один из вариантов NAT позволяет устанавливать соединения из внешней сети. Про это и разговор. Сейчас провайдеры используют не позволяющие устанавливать.
Adamos, Ну и спросите у них в какой версии они принимают макеты. Эти же требования не от балды. Даже в пределах линейки одной программы бывают сюрпризы.
