Маленький хак на пользу общества

Автор: maximus. Posted in Статьи по безопасности сайтов

В то время как все публикуют радостные отчеты по доходам за месяц, я напишу немного скучную статью по безопасности сайтов, с небольшим живым примером хака. Этой статьёй я надеюсь убить аж 3 зайцев. 1) немного накажу нехорошего человека, 2) покажу проблему в защите одного сайта 3) добавлю ещё одну мегаинтересную статью на блог, по теме безопасности сайтов.

Вечер пятницы не предвещал ничего необычного. Я приехал домой отстояв в ужасной пробке вместе с дачниками больше часа, поужинал, и, так как семья находится в гостях у бабушки, подумал – чем бы заняться? Само собой мысли о наполнении сайтов контентом, оптимизации и чтении умных материалов переполняли меня… Но я их решительно отмёл, нет, вечер пятницы создан не для этого.

 

План был такой – просмотр очередной серии немного трешевого сериала Фарго, полчаса – час игра в Quake Live (обожаю режим instagib) и чтение художественной литературы на сон грядущий. Неделя выдалась сложная, я устал, не высыпался, завтра с утра планы и на весь день, поэтому вот так – отдых, расслабление, нирвана.

Казалось бы ничего не предвещало беды, правда?

Поставил на закачку торрент, и тут глаз зацепился за рекламу (вот паразиты, запихали рекламу в mtorrent, у меня где-то валялся старый клиент в архиве, еще без рекламы, но искать лень, потому вот смотрю на рекламу иногда). Вот она, реклама:

image

Ну как же, чел набил за 2 часа 100$, интересно жеж, я бы тоже не прочь так зарабатывать ) Мне стало интересно что это за развод рекламируется, я кликнул по ссылке и попал на сайт http://zarabotok-blog.com/ (хах, сразу же перешли по ссылке, а там http://adsensetop.ru ? да, это моя работа, хотите посмотреть на сайт, отключите JS)

Очередное разводилово на вливание бабла в казино. Реф.ссылка, чудодейственный метод, бла-бла-бла… Хрень короче, очередные жулики. Рука уже было потянулась закрыть окно, но решил посмотреть, чокаво, раз уж пришёл. Промотал туда-сюда, пробежался по тексту, все очень средненько и серенько конечно, обычно раскручивают посильнее. А внизу увидал форму комментариев.

Обычно подобные сайты делают статическими, чистый html, одна, максимум две-три страницы, а тут форма.

Дай-ка думаю, отправлю привет автору этого чуда. И что бы сразу же привет был более ласковым, решил глянуть как поведёт себя комментарий со спецсимволами? Запостил вот что:

image

 

Заглядываю в код страницы, оба-на, да тут прямо праздник какой-то!

image

Видим, что в поле “author” экранируется только символ _’_, а символ _<_ остается без внимания. Вероятно и символ _>_ так же не экранируют.

Быстро пробую такой ввод:

image

И получаю активную ссылку! Заглядываем в код страницы и видим:

image

Апостроф и кавычка экранируются, а ёлочка (или как называется эти символы _<_   _>_ ) – нет.

Значит при небольшом старании туда можно запихнуть ссылку, JS или SQL-инъекцию (скорее всего комменты хранятся в базе данных).

SQL инъекция это крутовато для меня, а вот JS вполне можно сочинить.

Конечно, настоящий хакер-злоумышленник постарался бы сообразить что ни будь с получением доступа к коду сайта, к базе данных, либо через JS попытался бы впихнуть зловреда пользователю посетившему страницу (мы ведь все помним и понимаем что JS срабатывает на стороне клиента, в веб-браузере, да?).

Но я не такой (слишком глупый для этого :) ), поэтому мы запихнём туда редирект.

Хм, редирект куда? Понятно что не свой проект, на левые сайты глупо, ведь люди кликнув по рекламе пришли за заработком, надо им что-то реальное дать… Конечно же, adsensetop.ru ! Пусть видят где можно заработать и не играют в казино!

Ну и что бы оценить количество переходов завернем ссылку в сокращатель goo.gl, который посчитат нам число переходов.

Ок. Проще всего было бы скормить редирект форме вот таким кодом:

image

Но он не пройдёт. Почему? Ну кавычки то экранируются, что ломает код и JS прекращает работу.

Значит надо сочинить такой код, чтобы не было кавычек и апострофов. Я не сильный знаток JS, но уверен, что так сделать можно. Получасовое гугление и чтение мануалов, 5-6 неудачных попыток, привело меня вот к такому коду:

image

Как все уже догадались, здесь мы из ASCII кодов символов в переменную ‘a’ собираем ссылку, а затем скармливаем её редиректу.

Вуаля!

Пользователь заходит на страницу, загружается комментарий содержащиё редирект, и пользователь мгновенно и прозрачно перебрасывается на adsensetop.ru (если хотите поизучать сайт, отключите JS и спокойно изучайте)

Конечно взлом такого уровня это детский сад.

В чем не прав владелец сайта? Слишком небрежное отношение к экранированию пользовательского ввода. Запомните, пользователю нельзя доверять! Никому нельзя верить, мне можно! Хе-хе.

Что бы сделал реальный хакер – выпотрошил бы его базу как тузик грелку, получил бы доступ к хостингу, и накрыл бы всю сетку сайтов или весь аккаунт.

Я к сожалению, по коду не смог понять, что это за CMS, если у кого есть соображения, прошу поделиться.

Кстати, с посещаемостью и рекламой у него не фонтан, за всё время (1,5 часа) пока только 1 переход и тот – мой.

------------------

Небольшое дополнение, владелец или заметил хак, или перезаливает периодически сайт начисто.

Мои комменты со скриптами выпилились, да и не суть. Важен принцип.

Комментарии   

ephresEi
0 #11 ephresEi 27.02.2018 23:17
Эта идея придется как раз кстати

---
Могу предложить Вам посетить сайт, на котором есть много информации по этому вопросу. скачать fifa 15 xbox 360 freeboot, fifa 15 cracks v3 скачать или кряк для fifa 15 скачать взлом fifa 15
Цитировать | Сообщить модератору
rowsmonSa
0 #12 rowsmonSa 02.03.2018 17:20
Я извиняюсь, но, по-моему, Вы не правы. Я уверен. Могу отстоять свою позицию. Пишите мне в PM, поговорим.

---
тише,все ок!всем нравится,и мне! интересные рекламы, интересный мульт и тут интересные страницы
тут
тут
тут
тут
тут
тут
тут
тут
тут
Цитировать | Сообщить модератору
Normanet
0 #13 Normanet 04.04.2018 00:14
Investments in cryptocurrency - bit.ly/2uCcLt2!

10%-15% Daily Profit! Earn your bitcoins today, become a millionere tomorrow!

Affiliate program and referral commision 5%. Invite a freind and earn 5% commision from each deposit!

CLICK HERE!
=============== =============== =
Инвестиции в криптовалюту - bit.ly/2uCcLt2!

10%-15% ежедневного дохода! Заработайте свои биткойны сегодня, станьте миллионером завтра!

Партнерская програма и реферальная коммиссия 5%. Пригласите друга и получите 5% с каждого депозита!

ПЕРЕЙТИ НА САЙТ!
Цитировать | Сообщить модератору
Smithd593
0 #14 Smithd593 21.04.2018 05:13
Though it is true I enjoy your writing style, I don't agree with your main point of view about this one. I do delight in your website nevertheless. ggekebdddgfaadd a
Цитировать | Сообщить модератору
Smithk671
0 #15 Smithk671 22.04.2018 06:38
I am not sure where you are getting your info, but great topic. I needs to spend some time learning much more or understanding more. Thanks for fantastic information I was looking for this info for my mission. ededebakdkfgdda b
Цитировать | Сообщить модератору
Smithg857
0 #16 Smithg857 24.04.2018 11:57
Awesome article post.Thanks Again. Much obliged. dacfcebddgbbbed a
Цитировать | Сообщить модератору

Добавить комментарий


Защитный код
Обновить

Монетизация

Представьтесь