Маленький хак на пользу общества

Автор: maximus. Posted in Статьи по безопасности сайтов

В то время как все публикуют радостные отчеты по доходам за месяц, я напишу немного скучную статью по безопасности сайтов, с небольшим живым примером хака. Этой статьёй я надеюсь убить аж 3 зайцев. 1) немного накажу нехорошего человека, 2) покажу проблему в защите одного сайта 3) добавлю ещё одну мегаинтересную статью на блог, по теме безопасности сайтов.

Вечер пятницы не предвещал ничего необычного. Я приехал домой отстояв в ужасной пробке вместе с дачниками больше часа, поужинал, и, так как семья находится в гостях у бабушки, подумал – чем бы заняться? Само собой мысли о наполнении сайтов контентом, оптимизации и чтении умных материалов переполняли меня… Но я их решительно отмёл, нет, вечер пятницы создан не для этого.

 

План был такой – просмотр очередной серии немного трешевого сериала Фарго, полчаса – час игра в Quake Live (обожаю режим instagib) и чтение художественной литературы на сон грядущий. Неделя выдалась сложная, я устал, не высыпался, завтра с утра планы и на весь день, поэтому вот так – отдых, расслабление, нирвана.

Казалось бы ничего не предвещало беды, правда?

Поставил на закачку торрент, и тут глаз зацепился за рекламу (вот паразиты, запихали рекламу в mtorrent, у меня где-то валялся старый клиент в архиве, еще без рекламы, но искать лень, потому вот смотрю на рекламу иногда). Вот она, реклама:

image

Ну как же, чел набил за 2 часа 100$, интересно жеж, я бы тоже не прочь так зарабатывать ) Мне стало интересно что это за развод рекламируется, я кликнул по ссылке и попал на сайт http://zarabotok-blog.com/ (хах, сразу же перешли по ссылке, а там http://adsensetop.ru ? да, это моя работа, хотите посмотреть на сайт, отключите JS)

Очередное разводилово на вливание бабла в казино. Реф.ссылка, чудодейственный метод, бла-бла-бла… Хрень короче, очередные жулики. Рука уже было потянулась закрыть окно, но решил посмотреть, чокаво, раз уж пришёл. Промотал туда-сюда, пробежался по тексту, все очень средненько и серенько конечно, обычно раскручивают посильнее. А внизу увидал форму комментариев.

Обычно подобные сайты делают статическими, чистый html, одна, максимум две-три страницы, а тут форма.

Дай-ка думаю, отправлю привет автору этого чуда. И что бы сразу же привет был более ласковым, решил глянуть как поведёт себя комментарий со спецсимволами? Запостил вот что:

image

 

Заглядываю в код страницы, оба-на, да тут прямо праздник какой-то!

image

Видим, что в поле “author” экранируется только символ _’_, а символ _<_ остается без внимания. Вероятно и символ _>_ так же не экранируют.

Быстро пробую такой ввод:

image

И получаю активную ссылку! Заглядываем в код страницы и видим:

image

Апостроф и кавычка экранируются, а ёлочка (или как называется эти символы _<_   _>_ ) – нет.

Значит при небольшом старании туда можно запихнуть ссылку, JS или SQL-инъекцию (скорее всего комменты хранятся в базе данных).

SQL инъекция это крутовато для меня, а вот JS вполне можно сочинить.

Конечно, настоящий хакер-злоумышленник постарался бы сообразить что ни будь с получением доступа к коду сайта, к базе данных, либо через JS попытался бы впихнуть зловреда пользователю посетившему страницу (мы ведь все помним и понимаем что JS срабатывает на стороне клиента, в веб-браузере, да?).

Но я не такой (слишком глупый для этого :) ), поэтому мы запихнём туда редирект.

Хм, редирект куда? Понятно что не свой проект, на левые сайты глупо, ведь люди кликнув по рекламе пришли за заработком, надо им что-то реальное дать… Конечно же, adsensetop.ru ! Пусть видят где можно заработать и не играют в казино!

Ну и что бы оценить количество переходов завернем ссылку в сокращатель goo.gl, который посчитат нам число переходов.

Ок. Проще всего было бы скормить редирект форме вот таким кодом:

image

Но он не пройдёт. Почему? Ну кавычки то экранируются, что ломает код и JS прекращает работу.

Значит надо сочинить такой код, чтобы не было кавычек и апострофов. Я не сильный знаток JS, но уверен, что так сделать можно. Получасовое гугление и чтение мануалов, 5-6 неудачных попыток, привело меня вот к такому коду:

image

Как все уже догадались, здесь мы из ASCII кодов символов в переменную ‘a’ собираем ссылку, а затем скармливаем её редиректу.

Вуаля!

Пользователь заходит на страницу, загружается комментарий содержащиё редирект, и пользователь мгновенно и прозрачно перебрасывается на adsensetop.ru (если хотите поизучать сайт, отключите JS и спокойно изучайте)

Конечно взлом такого уровня это детский сад.

В чем не прав владелец сайта? Слишком небрежное отношение к экранированию пользовательского ввода. Запомните, пользователю нельзя доверять! Никому нельзя верить, мне можно! Хе-хе.

Что бы сделал реальный хакер – выпотрошил бы его базу как тузик грелку, получил бы доступ к хостингу, и накрыл бы всю сетку сайтов или весь аккаунт.

Я к сожалению, по коду не смог понять, что это за CMS, если у кого есть соображения, прошу поделиться.

Кстати, с посещаемостью и рекламой у него не фонтан, за всё время (1,5 часа) пока только 1 переход и тот – мой.

------------------

Небольшое дополнение, владелец или заметил хак, или перезаливает периодически сайт начисто.

Мои комменты со скриптами выпилились, да и не суть. Важен принцип.

Комментарии   

четкий пацан
0 #1 четкий пацан 06.06.2014 18:53
у все ты попал я тебя по айпи вычислю и паяльник в попу засуну а сайт заддосю и накуплю на него говноссылок он под пингвина уйдет
Цитировать | Сообщить модератору
Gandalf White
0 #2 Gandalf White 06.06.2014 19:39
Ну ты просто хакер, и не было тебе в лень, тратить на него время свое :) да еще и в пятницу :)
Цитировать | Сообщить модератору
maximus
+1 #3 maximus 07.06.2014 06:33
Цитирую четкий пацан:
у все ты попал я тебя по айпи вычислю и паяльник в попу засуну а сайт заддосю и накуплю на него говноссылок он под пингвина уйдет

:lol: :lol: :lol:
Цитировать | Сообщить модератору
maximus
0 #4 maximus 07.06.2014 06:34
Цитирую Gandalf White:
Ну ты просто хакер, и не было тебе в лень, тратить на него время свое :) да еще и в пятницу :)

Да какой хакер, говорю же, детский сад это всё. Такие методы лет 8-10 не актуальны.
Цитировать | Сообщить модератору
val
0 #5 val 08.06.2014 09:17
Я тоже проанализировал сайт zarabotok-blog. com, там прикол в том что свой комментарий видишь только ты. А все другие комментарии написаны специально.
Цитировать | Сообщить модератору
Pasagir
0 #6 Pasagir 09.06.2014 02:37
Да, безопасность сайта - это не игрушка.
А этим разводилам так и надо, да пожесче! :)
Цитировать | Сообщить модератору
maximus
0 #7 maximus 09.06.2014 16:36
Цитирую Pasagir:

А этим разводилам так и надо, да пожесче! :)

Там чтобы реально пожесче надо действительно "шарить", а не на таком любительском уровне.
Впрочем такой простой одностраничник - можно просто по крону из архива каждые 5 минут разворачивать.
Просто необчно для таких сайтов, что комментарии можно отправлять.
Цитировать | Сообщить модератору
d2craft
0 #8 d2craft 01.09.2014 11:00
Автору...данног о материала:
Вот смотри, авторы упомянутого тобой сайта нарушают статью 159 УК РФ. (Мошенничество, до 5 лет), которое а) надо ещё доказать, б) кто этим будет заниматься?
А твои действия, о которых ты здесь открыто и бодро рапортуешь, разумеется тянут уже на Статью 272 УПК. (Неправомерный доступ к компьютерной информации, до 7 лет). Которые: а) доказывать не надо, ты сам себя подставляешь; б) надо быть всё-таки умнее, ибо при желании Автора упомянутого тобой мошеннического сайта, может дойти до абсурда: он как динамил лохов, так и будет динамить, а тебе в зону.. Вот он посмеётся от души!
Это я к чему? К тому, что ... если кто-то видит что-то по его мнению противоправное, то нужно по определению обращаться в соответствующие органы, которым, между прочим, платят за то, чтобы они охраняли правопорядок, а не устраивать суды линча, например, и другие противоправные действия, упомянутые выше, как вариант. Ведь мы с вами не судьи, не прокуроры, не следователи, не ФСБ? Всё что мы можем, это обратиться... И это ИМХО будет лучшим способом "получить сатисфакцию", о которой, отбрасывая лирику, пишет Автор, я прав?
Ведь Автор жаждет сатисфакции?
Цитировать | Сообщить модератору
maximus
0 #9 maximus 01.09.2014 12:43
Дельный комментарий d2craft.
По сути ты прав, если что-то пресекать, то надо обращаться, или уж если ломать то не светится таким образом.
Насчет сатисфакции - мне пофиг по большому счету, превентивную меру я уже нанёс, если пользователи будут искать что-либо в сети по запросам "http://zarabot ok-blog.com развод обман заработк жулики" то попадут сюда и прочитают, кто-то сделает выводы, кто-то отдаст деньги жулику.

А пришить мне 272 по этой статье будет так же сложно как тому чуваку пришить 159.
А за комментарий спасибо, под такой точкой зрения я не смотрел на данный случай.
Цитировать | Сообщить модератору
Василий iklife.ru
0 #10 Василий iklife.ru 30.11.2017 16:13
С виду такой невинный "взломчик", а оказывается куча статей есть по этому делу.
Цитировать | Сообщить модератору

Добавить комментарий


Защитный код
Обновить

Монетизация

Представьтесь