INTRO
Kürzlich bin ich auf eine für das Internet übliche Situation gestoßen - eine klassische Aufforderung eines Verwandten, seine Stimme in einer Art Stimme für ihn abzugeben. Es stellte sich heraus, dass die Betrüger die Person „geknackt“ hatten und die Links zur Abstimmung zu Phishing-Ressourcen führten.
Ich mag Sicherheit sehr, deshalb habe ich beschlossen, die Sicherheit der Phishing-Ressource aus Interesse zu überprüfen.
Das Admin-Panel der Betrüger wurde erfolgreich gehackt, im Inneren befanden sich n gestohlene Konten. Ihre Anmeldungen wurden an den VK-Sicherheitsdienst weitergeleitet, und die entsprechenden "Missbrauchs" -Beschwerden wurden an Registrare und Hoster gesendet.
Und jetzt werde ich Ihnen sagen, wie und welche Phishing-as-Service-Panels sich herausstellen ...
Alles begann wie gewohnt, eine Bitte eines Verwandten, seine Stimme in einer Art Stimme für ihn abzugeben:
Relativ:
Hallo, ich möchte nur gewinnen :) http://x-vote.ru/votes/701738#vote
In der Tat wird eine solche Anfrage höchstwahrscheinlich ignoriert, aber aus Sicherheitsgründen bestand ein Interesse daran, die Abstimmung selbst auf den Race-Zustand zu überprüfen. Wird es möglich sein, dass ein Konto tatsächlich einige Stimmen abgibt, indem mehrere in einem kurzen Zeitraum gesendet werden?
, . , , , Oauth , .
, , .
, Race Condition , , , , , - - .
, , , - , , , , / "" HTML+JS, Blind XSS. , — / .
xsshunter — . XSS, :
- url, ;
- IP;
- Cookie;
- Dom-;
… . , , , VPS.
, blind XSS- .
, XSS " " ( document.cookie).
, — "httpOnly", JS.
XSS , - API , (), .
, "" .
, , .
, , , — .
. bootstrap , , :
:
:
API:
IP.
, , :
:
, :
… .
API , , , , .., execute.getDialogsWithProfilesNewFixGroups.php, :
https://vk.com/dev/execute
.
— VK .
access-, , .
:
GET /method/execute.getDialogsWithProfilesNewFixGroups?access_token=****b750be150c961c******ace8d9dd54e448d5f5e5fd2******7e21388c497994536a740e3a45******&lang=ru&https=1&count=40&v=5.69 HTTP/1.1
Host: vk-api-proxy.xtrafrancyz.net
HTTP/1.1 200 OK
Date: Tue, 03 Mar 2020 09:57:08 GMT
Content-Type: application/json; charset=utf-8
Connection: close
Vary: Accept-Encoding
Server: vk-proxy
X-Powered-By: PHP/3.23359
Cache-Control: no-store
X-Frame-Options: DENY
Access-Control-Allow-Origin: *
Content-Length: 57453
{"response":{"a":{"count":271,"unread_dialogs":151,"items":[{"message":{"id":592***,"date":1583222677,"out":0,"user_id":14967****,"read_state":1,"title":"","body":" : 063725.","owner_ids":[]},"in_read":592***,"out_read":592***}
, . , — "" , . , + , , .
, , , , .
, , ?
-, , , , , : , , blind xss , VK Bo0oM, , , , .
complaint' . cloudflare', . , , , . - Cloudflare , https://www.cloudflare.com/abuse/form, — 1 url ¯ \ (ツ) / ¯
— 10 .
, , .
UPD: QIWI Yandex, .