Автоматическое определение имен пользователей в AOL Instant Messenger

19.05.2003 | 15:23
Уязвимость обнаружена в протоколе OSCAR, используемом для обмена мгновенными сообщениями в AOL и ICQ клиентах. Удаленный пользователь может автоматически определить имена пользователей AOL Instant Messenger.

OSCAR (Open System for Communication in Realtime) - патентованный протокол, разработанный America On-Line (AOL). OSCAR определяет систему обмена мгновенными сообщениями. Протокол используется всеми версиями клиента AOL's Instant Messenger (AIM) и последними версиями ICQ (ICQ2000 и более поздними). Вход в систему OSCAR состоит из TCP пакета, который включает имя входящего в систему (screen name), пароль и строку версии клиента.

После успешного входа в систему, создаются куки, которые предоставляют пользователю доступ к различным BOS серверам в течение времени жизни сессии. Сеть AIM состоит из двух видов серверов: Open System for Communications in Real-time (OSCAR), который обрабатывает пользовательские разрешения и Basic OSCAR Service (BOS), который обеспечивает средства поиска пользователей.

Aimhol - программа, позволяющая автоматически получить имена AOL Instant Messenger и связанные данные (хобби, прозвища и т.д.) запрашивая AOL OSCAR/BOS сервера. Программа использует для подключения 443 порт, который не фильтруют большинство межсетевых защит.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://www.securitylab.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код