Get best of the week

Cómo pirateé a los estafadores, o solo el interior de los paneles de phishing

INTRO


Recientemente me encontré con una situación habitual en Internet: una solicitud clásica de un pariente para emitir su voto por él en algún tipo de voto. Resultó que el hombre fue "pirateado" por estafadores, y los enlaces a la votación fueron a recursos de phishing.


Soy aficionado a la seguridad, así que decidí verificar la seguridad del recurso de phishing por interés.


El panel de administración de los estafadores fue pirateado con éxito, dentro había un número n de cuentas robadas. Sus inicios de sesión se transfirieron al servicio de seguridad de VK, además de las correspondientes quejas de "abuso" se enviaron a los registradores, a los anfitriones.


Y ahora te diré cómo y qué paneles de Phishing-as-Service resultan ser ...


Todo comenzó como de costumbre, una solicitud de un pariente para emitir su voto por él en algún tipo de voto:


Relativo:
Hola, solo quiero ganar :) http://x-vote.ru/votes/701738#vote


De hecho, lo más probable es que ignore dicha solicitud, pero desde el punto de vista de la seguridad, hubo un interés en verificar la condición de la Raza en el voto en sí mismo: ¿será posible que una cuenta emita algunos votos enviándolos varios en un corto período de tiempo?


, . , , , Oauth , .



, , .


, Race Condition , , , , , - - .


, , , - , , , , / "" HTML+JS, Blind XSS. , — / .


xsshunter — . XSS, :


  1. url, ;
  2. IP;
  3. Cookie;
  4. Dom-;
    … . , , , VPS.

, blind XSS- .



, XSS " " ( document.cookie).


, — "httpOnly", JS.


XSS , - API , (), .


, "" .


, , .


, , , — .




. bootstrap , , :


:



:



API:



IP.



, , :




:




, :





… .


API , , , , .., execute.getDialogsWithProfilesNewFixGroups.php, :
https://vk.com/dev/execute


.


— VK .


access-, , .


:


GET /method/execute.getDialogsWithProfilesNewFixGroups?access_token=****b750be150c961c******ace8d9dd54e448d5f5e5fd2******7e21388c497994536a740e3a45******&lang=ru&https=1&count=40&v=5.69 HTTP/1.1
Host: vk-api-proxy.xtrafrancyz.net

HTTP/1.1 200 OK
Date: Tue, 03 Mar 2020 09:57:08 GMT
Content-Type: application/json; charset=utf-8
Connection: close
Vary: Accept-Encoding
Server: vk-proxy
X-Powered-By: PHP/3.23359
Cache-Control: no-store
X-Frame-Options: DENY
Access-Control-Allow-Origin: *
Content-Length: 57453

{"response":{"a":{"count":271,"unread_dialogs":151,"items":[{"message":{"id":592***,"date":1583222677,"out":0,"user_id":14967****,"read_state":1,"title":"","body":"  : 063725.","owner_ids":[]},"in_read":592***,"out_read":592***}

, . , — "" , . , + , , .


, , , , .


, , ?


-, , , , , : , , blind xss , VK Bo0oM, , , , .


complaint' . cloudflare', . , , , . - Cloudflare , https://www.cloudflare.com/abuse/form, — 1 url ¯ \ (ツ) / ¯


— 10 .



, , .


UPD: QIWI Yandex, .

More articles:


All Articles