Comments 17
Всех участников тут же поставили на учёт в полиции. Очень удобно.
А есть-ли этот «образ ОС с системой ДБО (и исходники)» в открытом доступе? А так же более подробная информация о том, как участники проводили атаки?
Исходников не видел, а уязвимости Raz0r описывал у себя в блоге.
> Деньги банкомат выдал до копейки: все по-честному.
Копейками выдавал?
Копейками выдавал?
Интересно, что мешало вывести самую большую сумму в первом конкурсе?
Может время?
Почитайте отчет Raz0r о найдеттых уязвимостях, станет понятнее. Деньги сливались со счетов других клиентов с использованием уязвимостей, позволяющих подобрать пароли либо одноразовые ключи за достижимое время. Видимо денег на счетах каждого «клиента» было не так много.
1. была ощутимая нагрузка на сервер;
2. в системе было 200 аккаунтов, где и сколько лежало никто не знал;
3. ограничение по времени — дописать скрипт во время конкурса не представлялось возможным, не говоря уже о поиске багов.
2. в системе было 200 аккаунтов, где и сколько лежало никто не знал;
3. ограничение по времени — дописать скрипт во время конкурса не представлялось возможным, не говоря уже о поиске багов.
3500 руб смешная сумма
Хотя такая возможность и не афишировалось, но украсть деньги можно было не только со счетов «банка», но и у других участников конкурса ;) еще до этой фразы закралась мысль, что надо просто подождать и тырить у других участников — таким образом быть абсолютным чемпионом :)
Работал вместе с Gifts, поэтому могу сказать, в чем были преимущества нашего скрипта. Самое первое, и самое главное — многопоточность (от которой сервак падал каждые 15 секунд, и мешал нормально снимать денюжки). Второе — защита своего аккаунта, которая была реализована через постоянную смену сессии. Собственно, все баги нашлись в первый день, а скрипт был написан за ночь.
Sign up to leave a comment.
Покажи мне деньги! Конкурс «Большой Ку$h» на PHDays 2012