Ломаем noname CC shop

Рады приветствовать Вас!

К Вашим услугам - качественный товар различных ценовых категорий.

Качественная поддержка 24 часа в сутки!

Мы ответим на любой ваш вопрос и подскажем в выборе товара и района!

Наши контакты:

Telegram:

https://t.me/happystuff

ВНИМАНИЕ!!! В Телеграмм переходить только по ссылке, в поиске много Фейков!

Внимание! Роскомнадзор заблокировал Telegram ! Как обойти блокировку:

http://telegra.ph/Kak-obojti-blokirovku-Telegram-04-13-15

Здесь должно быть вступление, в котором я кратко завлекаю вас рассказом о том, как мог заработать миллионы долларей на краже сс, однако решил просто получить свой скромный шекель за анализ кода и не более того. На анализ был дан код магазина по продаже сс. Нужно было выяснить, каким путем были уведены из шопа деньги. После анализа, оказалось, что способов украсть деньги достаточно много. И описывать каждый из них - дело долгое и неблагодарное. Поэтому я сделал 'кратенький' отчет в достаточно упрощенной форме, который вы и имеете удовольствие читать в данный момент. И практически сразу - наиудивительнейшие открытия. На скриншоте замазано значение key из массива. Забегая вперед, для работы с сервисом, который предоставляет карты для продажи, нужно знать только API-ключ и url куда отправлять запросы. И вот key - это то самое значение API-ключа. Мы видим, что во первых - не нужно даже быть зарегистрированным, чтобы отправить сообщение. А во вторых - нет проверки, что именно тот пользователь что указан в sender и отправил сообщение. Достаточно отправить post-запрос с параметрами sender и message:. Имеем активную XSS, которая дает нам кучу возможностей. Например, можно повесить простенький веб-сниффер. А так как по умолчанию сессионные куки не имеют флага httponly, то мы можем украсть куки любого посетителя магазина, в том числе и админа. Подставляем куки себе и заходим. Сразу можем отметить, что нет капчи - можно брутить сколько угодно. Попробуем зайти под заведомо несуществующим пользователем abcdef Как видите, перед тем как брутфорсить, мы можем точно определить, зарегистрирован пользователь или нет. Более того, обращаясь к файлу. С одной стороны, слабый пароль - проблема пользователя. С другой стороны, когда у пользователя уведут аккаунт и обнулят баланс, Вы ему не сможете достоверно доказать, что это сделали не Вы. Что важно - верстка не бьется, и если не alert , то понять, что что-то произошло довольно сложно. С данной XSS можно угнать куки админа, не тратя время на обычных пользователей. Используя украденные куки админа, заходим в шоп, выбираем пункт 'пользователи', выбираем заранее зарегистрированный нами аккаунт и меняем баланс на тот, который нас более устраивает:. Но это совсем не всё, на что мы можем влиять. Если посмотрим в html-код страницы, то можем увидеть:. Как мы видим, часть функционала убрали в комментарии. Но нам ничто не мешает просто отредактировать html с помощью firebug или другого подобного инструмента. Вдобавок, мы допишем еще один пункт в меню:. Мы не только добавили денег на баланс, но и расширили свои полномочия. Теперь мы можем красть деньги не привлекая внимания:. И никаких подозрений - сколько занесли пользователи, столько мы и тратим. К тому же, мы можем свободно редактировать любые статьи в магазине. И можем добавить еще парочку активных xss, так сказать впрок. Допустим, админ редко заходит в магазин, везде пользуется noscript или поставил флаг httponly у сессионных cookie. Выходит, что у нас нет возможности стырить его куки, а вот получить пачку свежих сс и при этом заплатить как можно меньше - очень хочется. Добавляем в корзину карту, которую хотим купить. Сохраняем http-запрос добавляющий карту:. Теперь переходим в корзину и удаляем карту из корзины. Повторяем запрос, но меняем последнее значение:. Такая цена нас уже устраивает. Но всегда хочется еще чего-то большего. Даже если закрыть уязвимость, связанную с изменением цены, остается возможность покупать карты, загоняя баланс в минус. Взглянем на код скрипта. Нам разрешают покупать, если сумма покупки меньше, чем баланс пользователя. При этом и сумма покупки и баланс хранятся в сессии. Далее, после покупки баланс в БД меняет значение. В принципе, всего вышеописанного достаточно, чтобы составить общее впечатление о коде. Я не упоминал мелкие баги, типа reflected XSS, раскрытие путей и ошибки, связанные с функционалом, который был запрятан куда подальше. Сейчас, когда с анализом кода мы закончили, мне хотелось бы поговорить о нескольких тезисах автора софта жирным выделил я:. Подобное утверждение имело силу, если бы речь шла о школьном портале, сделанном за тройку в четверти по информатике. А из этого приложения, при небольшой доработке, можно сделать что-то типа Damn Vulnerable CC Shop на котором можно обучать юных хакеров. Ну и если мы заглянем на php. Первая глава - ' Установка и настройка '. Вторая глава - ' Справочник языка '. Третья глава - ' Безопасность '. Четвертая глава - ' Отличительные особенности '. И только уже пятая глава - ' Справочник функций '. Нормальный кодер должен знать какие существуют уязвимости и как предотвратить их появление у себя в коде. Никакого хакерства в этом нет. Не совсем правда, а возможно, совсем неправда. Если внимательно изучить html-код можно увидеть такое:. Самое очевидное и разумное объяснение - это то, что код был переделан из какой-то заготовки, а не написан с нуля. Была эта заготовка написана самим автором или кем-то еще - уже не узнать, да и не так важно. Платят потому что это дешевле, чем нанимать профессионалов высокого класса. Выходит, что индусы ищут ошибки индусов, пока белые люди делают деньги. Во-первых, возникшие проблемы как раз ложатся на плечи тех самых разработчиков, которые допустили ошибки. Во-вторых - после того, как проблемы будут решены, следуют санкции - от лишения премии, до увольнения к хуям с записью о проф. Малыми деньгами ты покрываешь гигантские периметры на уровень ' выше среднего ' с. В этот самый момент я осознал, что все, что написал выше было ошибкой. Пока админа кребс не вычислил - считай и не поработали нормально, так, детская возня. Ломаем noname CC shop Опубликовано Но этого вступления здесь не будет. При простом обращении к файлам: Активная XSS и прочие веселья в чате. Взглянем на содержимое файла. Y' , time ;.

Kokain Sarand? sat?p al?n?z

Ломаем noname CC shop

Please turn JavaScript on and reload the page.

Скрипт СС Script CC/Dump Shop