io non sono un hacker, e io non sono uno di quelli etici penna tester sia. Ho dato un’occhiata ad alcuni di quei corsi online e mi sono reso conto che sono tutte le finestre di hacking di Kali., Non ho avuto la pazienza di sedermi attraverso 100 ore di qualcuno che mi diceva come entrare in una scatola di Windows. Che noia.
Detto questo, esisto in un mondo strano, uno in cui cerco dati, raccolgo quei dati e cerco di dare un senso a questo. C’è una parte di esso che è l’hacking, e un’altra parte che è la scienza dei dati guess credo di chiamarlo, “cercando le scorciatoie che mi danno la mappa su ciò che l’ingegnere o la società stava facendo”., Quelle scorciatoie mi permettono di afferrare i dati che sto cercando, di tagliarli, buttare via la spazzatura e capire cosa sta realmente accadendo, sia con i dati che con l’azienda. Forse la società o l’app hanno commesso un errore con la loro API e non usano i token quando effettuano una richiesta. Forse non hanno usato il pinning del certificato e posso solo guardare il loro traffico di rete tramite un proxy. E così mi siedo, e guardo, e a volte sonda per vedere cosa ne viene fuori. Un sacco di volte la magia sta solo dicendo, “cosa succede se faccio questo”? Quei semplici guard rail che mantengono 99.,9999% di noi sulla strada sono, in realtà, solo 3 piedi di altezza.
Ma questo “hack”, se si può anche chiamare un “hack” è così semplice. E, forse è proprio questo, siamo così coinvolti nelle due o tre scelte, che non ci rendiamo conto che c’è un intero altro mondo là fuori se solo sondiamo un po’, facciamo una domanda diversa, sediamo e guardiamo. E ‘ questo il segreto.
Ok, questo è un sacco di accumulo per una cosa così semplice but ma ho un punto. Ci pensero ‘ piu ‘ tardi.
Durante il volo, colleghiamoci al SSID gogoinflight.,
Avanti, si dovrebbe essere indirizzato alla gogoinflight pagina web. In caso contrario, è necessario passare al router predefinito. Qui, possiamo usare 172.19.131.2 (questo ip è nelle informazioni di connessione). In alternativa, è possibile utilizzare “airbone.gogoinflight.com”.
Ci siamo. Perché sì, è bello vederti. Scorri verso il basso e connettiti al collegamento check-in di T-Mobile. Fai clic su di esso., Va bene che non hai un numero T-Mobile. Te lo spiego tra un po’.
Sempre più vicino. Premi “Andiamo”. E non è necessario abilitare le chiamate WiFi. Lo faresti se volessi davvero fare delle chiamate. Altrimenti, non preoccuparti.,
Lasciare che il riempimento di che . Ed ecco la nostra prima “scorciatoia”. Lo sviluppatore utilizza lo stesso per ogni richiesta che stiamo per fare. Oh, ma VA BENE. Forse sono stati probabilmente spinti dalla compagnia aerea e T-Mobile per farlo fare il più velocemente possibile. Poi di nuovo, forse no.,
Ora proviamo a inserire un numero di telefono. Qualsiasi numero. Proviamo alcuni e dopo ogni volta, colpiremo “Pronto per il decollo”. Qui, usiamo la stessa scorciatoia lasciata dallo sviluppatore. Non si rinnova.
503-851-2214 n no
503-851-2215 n no
503-851-2216 n no
503-851-2217!no
503-851-2218 BINGO BINGO!
Scusa se questo è il tuo numero e l’ho appena pubblicato su Medium.,
Che. essere. esso.
Quindi cosa significa?
In cima a ciascun piano, c’è una parabola satellitare. Quel piatto ha diversi gradi di libertà e invia una piccola piccola quantità di dati per verificare a quale operatore appartiene il tuo numero di telefono. ~ 40 bit, più o meno.
Pensaci, sei su un aereo che è 30.000 piedi in aria non hai ricezione., Come ti aspetti di confermare il tuo numero di telefono senza ricezione, senza fornire un indirizzo email? Beh, puoi, ma questo non e ‘ il momento per quella conversazione.
Quindi l’aereo invia un segnale al satellite, il satellite lo trasmette a terra e poi a qualche API da qualche parte che controlla la richiesta per vedere a quale vettore appartiene. Si può provare voi stessi con questi servizi di ricerca carrier. Sto indovinando qui, ma molto probabilmente, la richiesta restituirà un Vero o Falso., Se true, ottieni Internet gratuito, una sessione registrata e un URL generato casualmente che include un token nell’url che scade dopo un determinato periodo di tempo.
Quindi perché farlo in questo modo? Perché la comunicazione satellitare è molto costosa. Alaska e T-Mobile volutamente cercare di limitare tale larghezza di banda per verificare la validità del numero di telefono fornito. Ho usato questo metodo la scorsa notte e ho usato il wifi gratuito per più di un’ora da quando il volo era di 2,5 ore. Ciò significa che anche il token non scade.
Quindi, qual è la parte più divertente di questo?, Ieri sera ho guardato per vedere se ci fossero post su di esso. Ho trovato solo un articolo e quella scoperta è stata sepolta in fondo alla rivista Forbes. Sì, Forbes da marzo 2017. L’autore era così vicino a implementarlo.
Come da articolo,
È possibile utilizzare qualsiasi smartphone per accedere alla promozione T-Mobile. Il Vettore non sembra convalidare il numero di telefono contro la SIM, quindi questo significa che l’immissione di un numero T-Mobile valido si tradurrà nella possibilità di accedere al servizio.
Ma non l’ha fatto!, Aveva un numero di T-Mobile e ha usato che invece. Quando l’autore ha parlato con un rappresentante senior di T-Mobile,
T-Mobile mi ha assicurato che avevano alcuni controlli di convalida in atto per prevenire ciò che ho appena descritto, ma hanno ammesso che c’erano ancora alcuni problemi (come ha fatto Gogo quando ho parlato con loro).