Ломаем noname CC shop

Легендарный магазин HappyStuff теперь в телеграамм!

У нас Вы можете приобрести товар по приятным ценам, не жертвуя при этом качеством!

Качественная поддержка 24 часа в сутки!

Мы ответим на любой ваш вопрос и подскажем в выборе товара и района!

Telegram:

(ВНИМАНИЕ!!! В ТЕЛЕГРАМ ЗАХОДИТЬ ТОЛЬКО ПО ССЫЛКЕ, В ПОИСКЕ НАС НЕТ!)

купить кокаин, продам кокс, куплю кокаин, сколько стоит кокаин, кокаин цена в россии, кокаин цена спб, купить где кокаин цена, кокаин цена в москве, вкус кокаин, передозировка кокаин, крэк эффект, действует кокаин, употребление кокаин, последствия употребления кокаина, из чего сделан кокаин, как влияет кокаин, как курить кокаин, кокаин эффект, последствия употребления кокаина, кокаин внутривенно, чистый кокаин, как сделать кокаин, наркотик крэк, как варить крэк, как приготовить кокаин, как готовят кокаин, как правильно нюхать кокаин, из чего делают кокаин, кокаин эффект, кокаин наркотик, кокаин доза, дозировка кокаина, кокаин спб цена, как правильно употреблять кокаин, как проверить качество кокаина, как определить качество кокаина, купить кокаин цена, купить кокаин в москве, кокаин купить цена, продам кокаин, где купить кокс в москве, куплю кокаин, где достать кокс, где можно купить кокаин, купить кокс, где взять кокаин, купить кокаин спб, купить кокаин в москве, кокс и кокаин, как сделать кокаин, как достать кокаин, как правильно нюхать кокаин, кокаин эффект, последствия употребления кокаина, сколько стоит кокаин, крэк наркотик, из чего делают кокаин, из чего делают кокаин, все действие кокаина, дозировка кокаина, употребление кокаина, вред кокаина, действие кокаина на мозг, производство кокаина, купить кокаин в москве, купить кокаин спб, купить кокаин москва, продам кокаин, куплю кокаин, где купить кокаин, где купить кокаин в москве, кокаин купить в москве, кокаин купить москва, кокаин купить спб, купить куст коки, купить кокс в москве, кокс в москве, кокаин москва купить, где можно заказать, купить кокаин, кокаиновый куст купить, стоимость кокаина в москве, кокаин купить цена, продам кокаин, где купить кокс в москве, куплю кокаин, где достать кокс, где можно купить кокаин, купить кокс, где взять кокаин, последствия употребления кокаина

Здесь должно быть вступление, в котором я кратко завлекаю вас рассказом о том, как мог заработать миллионы долларей на краже сс, однако решил просто получить свой скромный шекель за анализ кода и не более того. На анализ был дан код магазина по продаже сс. Нужно было выяснить, каким путем были уведены из шопа деньги. После анализа, оказалось, что способов украсть деньги достаточно много. И описывать каждый из них - дело долгое и неблагодарное. Поэтому я сделал 'кратенький' отчет в достаточно упрощенной форме, который вы и имеете удовольствие читать в данный момент. И практически сразу - наиудивительнейшие открытия. На скриншоте замазано значение key из массива. Забегая вперед, для работы с сервисом, который предоставляет карты для продажи, нужно знать только API-ключ и url куда отправлять запросы. И вот key - это то самое значение API-ключа. Мы видим, что во первых - не нужно даже быть зарегистрированным, чтобы отправить сообщение. А во вторых - нет проверки, что именно тот пользователь что указан в sender и отправил сообщение. Достаточно отправить post-запрос с параметрами sender и message:. Имеем активную XSS, которая дает нам кучу возможностей. Например, можно повесить простенький веб-сниффер. А так как по умолчанию сессионные куки не имеют флага httponly, то мы можем украсть куки любого посетителя магазина, в том числе и админа. Подставляем куки себе и заходим. Сразу можем отметить, что нет капчи - можно брутить сколько угодно. Попробуем зайти под заведомо несуществующим пользователем abcdef Как видите, перед тем как брутфорсить, мы можем точно определить, зарегистрирован пользователь или нет. Более того, обращаясь к файлу. С одной стороны, слабый пароль - проблема пользователя. С другой стороны, когда у пользователя уведут аккаунт и обнулят баланс, Вы ему не сможете достоверно доказать, что это сделали не Вы. Что важно - верстка не бьется, и если не alert , то понять, что что-то произошло довольно сложно. С данной XSS можно угнать куки админа, не тратя время на обычных пользователей. Используя украденные куки админа, заходим в шоп, выбираем пункт 'пользователи', выбираем заранее зарегистрированный нами аккаунт и меняем баланс на тот, который нас более устраивает:. Но это совсем не всё, на что мы можем влиять. Если посмотрим в html-код страницы, то можем увидеть:. Как мы видим, часть функционала убрали в комментарии. Но нам ничто не мешает просто отредактировать html с помощью firebug или другого подобного инструмента. Вдобавок, мы допишем еще один пункт в меню:. Мы не только добавили денег на баланс, но и расширили свои полномочия. Теперь мы можем красть деньги не привлекая внимания:. И никаких подозрений - сколько занесли пользователи, столько мы и тратим. К тому же, мы можем свободно редактировать любые статьи в магазине. И можем добавить еще парочку активных xss, так сказать впрок. Допустим, админ редко заходит в магазин, везде пользуется noscript или поставил флаг httponly у сессионных cookie. Выходит, что у нас нет возможности стырить его куки, а вот получить пачку свежих сс и при этом заплатить как можно меньше - очень хочется. Добавляем в корзину карту, которую хотим купить. Сохраняем http-запрос добавляющий карту:. Теперь переходим в корзину и удаляем карту из корзины. Повторяем запрос, но меняем последнее значение:. Такая цена нас уже устраивает. Но всегда хочется еще чего-то большего. Даже если закрыть уязвимость, связанную с изменением цены, остается возможность покупать карты, загоняя баланс в минус. Взглянем на код скрипта. Нам разрешают покупать, если сумма покупки меньше, чем баланс пользователя. При этом и сумма покупки и баланс хранятся в сессии. Далее, после покупки баланс в БД меняет значение. В принципе, всего вышеописанного достаточно, чтобы составить общее впечатление о коде. Я не упоминал мелкие баги, типа reflected XSS, раскрытие путей и ошибки, связанные с функционалом, который был запрятан куда подальше. Сейчас, когда с анализом кода мы закончили, мне хотелось бы поговорить о нескольких тезисах автора софта жирным выделил я:. Подобное утверждение имело силу, если бы речь шла о школьном портале, сделанном за тройку в четверти по информатике. А из этого приложения, при небольшой доработке, можно сделать что-то типа Damn Vulnerable CC Shop на котором можно обучать юных хакеров. Ну и если мы заглянем на php. Первая глава - ' Установка и настройка '. Вторая глава - ' Справочник языка '. Третья глава - ' Безопасность '. Четвертая глава - ' Отличительные особенности '. И только уже пятая глава - ' Справочник функций '. Нормальный кодер должен знать какие существуют уязвимости и как предотвратить их появление у себя в коде. Никакого хакерства в этом нет. Не совсем правда, а возможно, совсем неправда. Если внимательно изучить html-код можно увидеть такое:. Самое очевидное и разумное объяснение - это то, что код был переделан из какой-то заготовки, а не написан с нуля. Была эта заготовка написана самим автором или кем-то еще - уже не узнать, да и не так важно. Платят потому что это дешевле, чем нанимать профессионалов высокого класса. Выходит, что индусы ищут ошибки индусов, пока белые люди делают деньги. Во-первых, возникшие проблемы как раз ложатся на плечи тех самых разработчиков, которые допустили ошибки. Во-вторых - после того, как проблемы будут решены, следуют санкции - от лишения премии, до увольнения к хуям с записью о проф. Малыми деньгами ты покрываешь гигантские периметры на уровень ' выше среднего ' с. В этот самый момент я осознал, что все, что написал выше было ошибкой. Пока админа кребс не вычислил - считай и не поработали нормально, так, детская возня. Ломаем noname CC shop Опубликовано Но этого вступления здесь не будет. При простом обращении к файлам: Активная XSS и прочие веселья в чате. Взглянем на содержимое файла. Y' , time ;.

Ломаем noname CC shop