INTRO
Baru-baru ini saya menemukan situasi yang biasa untuk Internet - permintaan klasik dari seorang kerabat untuk memberikan suara mereka kepadanya dalam beberapa jenis suara. Ternyata pria itu "diretas" oleh para scammer, dan tautan ke pemungutan suara adalah untuk sumber daya phishing.
Saya menyukai keamanan, jadi saya memutuskan untuk memeriksa keamanan sumber phising karena minat.
Panel admin scammers berhasil diretas, di dalamnya ada n-nomor akun yang dicuri. Info masuk mereka ditransfer ke layanan keamanan VK, ditambah keluhan "penyalahgunaan" yang sesuai dikirimkan ke pendaftar, tuan rumah.
Dan sekarang saya akan memberi tahu Anda bagaimana dan panel Phishing-as-Service berubah menjadi ...
Semuanya berawal seperti biasa, permintaan dari kerabat untuk memberikan suaranya kepadanya dalam beberapa jenis suara:
Relatif:
Hai, saya hanya ingin menang :) http://x-vote.ru/votes/701738#vote
Bahkan, kemungkinan besar akan mengabaikan permintaan seperti itu, tetapi dari sudut pandang keamanan, ada minat untuk memeriksa kondisi Ras , pemungutan suara itu sendiri - akankah mungkin 1 akun memberikan beberapa suara pada kenyataannya dengan mengirimkan beberapa dalam waktu singkat.
, . , , , Oauth , .
, , .
, Race Condition , , , , , - - .
, , , - , , , , / "" HTML+JS, Blind XSS. , — / .
xsshunter — . XSS, :
- url, ;
- IP;
- Cookie;
- Dom-;
… . , , , VPS.
, blind XSS- .
, XSS " " ( document.cookie).
, — "httpOnly", JS.
XSS , - API , (), .
, "" .
, , .
, , , — .
. bootstrap , , :
:
:
API:
IP.
, , :
:
, :
… .
API , , , , .., execute.getDialogsWithProfilesNewFixGroups.php, :
https://vk.com/dev/execute
.
— VK .
access-, , .
:
GET /method/execute.getDialogsWithProfilesNewFixGroups?access_token=****b750be150c961c******ace8d9dd54e448d5f5e5fd2******7e21388c497994536a740e3a45******&lang=ru&https=1&count=40&v=5.69 HTTP/1.1
Host: vk-api-proxy.xtrafrancyz.net
HTTP/1.1 200 OK
Date: Tue, 03 Mar 2020 09:57:08 GMT
Content-Type: application/json; charset=utf-8
Connection: close
Vary: Accept-Encoding
Server: vk-proxy
X-Powered-By: PHP/3.23359
Cache-Control: no-store
X-Frame-Options: DENY
Access-Control-Allow-Origin: *
Content-Length: 57453
{"response":{"a":{"count":271,"unread_dialogs":151,"items":[{"message":{"id":592***,"date":1583222677,"out":0,"user_id":14967****,"read_state":1,"title":"","body":" : 063725.","owner_ids":[]},"in_read":592***,"out_read":592***}
, . , — "" , . , + , , .
, , , , .
, , ?
-, , , , , : , , blind xss , VK Bo0oM, , , , .
complaint' . cloudflare', . , , , . - Cloudflare , https://www.cloudflare.com/abuse/form, — 1 url ¯ \ (ツ) / ¯
— 10 .
, , .
UPD: QIWI Yandex, .