Get best of the week

Comment j'ai piraté les escrocs, ou tout simplement l'intérieur des panneaux de phishing

INTRO


Récemment, je suis tombé sur une situation habituelle pour Internet - une demande classique d'un parent de voter pour lui dans une sorte de vote. Il s'est avéré que l'homme a été «piraté» par des escrocs, et les liens de vote étaient liés à des ressources de phishing.


J'aime la sĂ©curitĂ©, j'ai donc dĂ©cidĂ© de vĂ©rifier la sĂ©curitĂ© de la ressource de phishing par intĂ©rĂȘt.


Le panneau d'administration des escrocs a été piraté avec succÚs, à l'intérieur il y avait un nombre n de comptes volés. Leurs identifiants ont été transférés au service de sécurité de VK, et les plaintes "abus" correspondantes ont été envoyées aux bureaux d'enregistrement, hébergeurs.


Et maintenant, je vais vous dire comment et quels panneaux de Phishing-as-Service se rĂ©vĂšlent ĂȘtre ...


Tout a commencé comme d'habitude, une demande d'un parent de voter pour lui dans une sorte de vote:


Relative:
Salut, je veux juste gagner :) http://x-vote.ru/votes/701738#vote


En fait, trĂšs probablement, il ignorera une telle demande, mais du point de vue de la sĂ©curitĂ©, il y avait un intĂ©rĂȘt Ă  vĂ©rifier l' Ă©tat de la race du vote lui-mĂȘme - sera-t-il possible pour 1 compte de voter en fait en en envoyant plusieurs en un court laps de temps.


, . , , , Oauth , .



, , .


, Race Condition , , , , , - - .


, , , - , , , , / "" HTML+JS, Blind XSS. , — / .


xsshunter — . XSS, :


  1. url, ;
  2. IP;
  3. Cookie;
  4. Dom-;
    
 . , , , VPS.

, blind XSS- .



, XSS " " ( document.cookie).


, — "httpOnly", JS.


XSS , - API , (), .


, "" .


, , .


, , , — .




. bootstrap , , :


:



:



API:



IP.



, , :




:




, :






 .


API , , , , .., execute.getDialogsWithProfilesNewFixGroups.php, :
https://vk.com/dev/execute


.


— VK .


access-, , .


:


GET /method/execute.getDialogsWithProfilesNewFixGroups?access_token=****b750be150c961c******ace8d9dd54e448d5f5e5fd2******7e21388c497994536a740e3a45******&lang=ru&https=1&count=40&v=5.69 HTTP/1.1
Host: vk-api-proxy.xtrafrancyz.net

HTTP/1.1 200 OK
Date: Tue, 03 Mar 2020 09:57:08 GMT
Content-Type: application/json; charset=utf-8
Connection: close
Vary: Accept-Encoding
Server: vk-proxy
X-Powered-By: PHP/3.23359
Cache-Control: no-store
X-Frame-Options: DENY
Access-Control-Allow-Origin: *
Content-Length: 57453

{"response":{"a":{"count":271,"unread_dialogs":151,"items":[{"message":{"id":592***,"date":1583222677,"out":0,"user_id":14967****,"read_state":1,"title":"","body":"  : 063725.","owner_ids":[]},"in_read":592***,"out_read":592***}

, . , — "" , . , + , , .


, , , , .


, , ?


-, , , , , : , , blind xss , VK Bo0oM, , , , .


complaint' . cloudflare', . , , , . - Cloudflare , https://www.cloudflare.com/abuse/form, — 1 url ¯ \ (ツ) / ¯


— 10 .



, , .


UPD: QIWI Yandex, .

More articles:


All Articles