Как стать автором
Обновить

Как я взломал компании, связанные с криптовалютой, и заработал на этом $60 000

Время на прочтение9 мин
Количество просмотров79K
Всего голосов 95: ↑87 и ↓8+79
Комментарии42

Комментарии 42

взломать учетную запись google и получить доступ к authenticator

authenticator в учетной записи ничего не хранит, для доступа к секретному ключу нужно иметь доступ к самому устройству.
сдается мне, что ключ authenticator'a бэкапиться в облако по умолчанию (как и другие сервисы гугл), с ключом можно получить код.
не-а, не бекапится. даже в доках при смене телефона предлагается повторно сканировать QR (и правильно делают, кстати :) )
Ключ не бэкапится, но хранится в обычном .xml файле (я про Android). Энивей, без рута его не достать. Короче, так или иначе нужен доступ к самому устройству.
У Google Authenticator база данных в формате sqlite лежит. Получить можно так:
adb pull /data/data/com.google.android.apps.authenticator2/databases/databases

Требуется рут.
Спасибо за интересную статью! Посоветуйте, пожалуйста, материалы, по которым можно обучиться поиску уязвимостей
Вот https://leanpub.com/web-hacking-101. Прочитал её, немного нового узнал. Будет полезна как новичкам, так и опытным багхантерам.
P.S: Ходят легенды, что если хорошо поискать, то можно и не платить $10 за книгу.
Спасибо!
Если вдруг кто сразу не заметит, там есть версия и на русском языке.
ЗЫ: по легендам, её тоже можно поискать и даже найти.
Я на днях нашёл XSS на одном билетном сайте с ~200 000 зарегистрированных пользователей — получил 500 грн. (~18 долл.). Заметно отличается подход наших и иностранных компаний, пусть последние и работают с финансами:)
Хорошо ещё, что уголовкой грозить не стали)
Да, бывает и такое) Но тут ребята, кстати, всё равно молодцы — на моё первое письмо они сами попросили номер карты, чтобы отблагодарить.
Кажется я знаю, о какой компании речь… Это ведь она недавно запретила возврат билетов онлайн? Найденные мной баги так и не исправили :/

Попробуйте, в этой же стране проверить сервисы по продаже билетов в кино/театры/на концерты — там не намного лучше.

P.S.: Перестал верить в предоплату после 2014 года :/
К сожалению или счастью, нет, не она. Эта бы точно пригрозила бы:)
Согласен, во многих сервисах можно найти ошибки и уязвимости, нужно лишь время и желание.
Из опыта — нет, не грозила, просто не ответили
А могли бы получить больше, никому ничего не сообщая))
Вывод из статьи: поставьте себе уже локальный кошелек, хотя бы не полный, вроде Electrum или Jaxx. Хранить криптовалюты у какого-то стороннего сервиса, ну охренеть просто.
Там не просто хранение, там проценты. А вообще да, это всё из-за непонимания и халатности. Люди даже не думают, что всё может исчезнуть вот так.
1+0.122+2+0.1+$200=$58 200 и с ростом курса bitcoin эта сумма будет расти.
а тем времнем, эта сумма уже выросла до $49 800
Ну, такая волатильность у биткоина, что поделаешь :) Ему очень нужны эти коррекции для того, чтобы взять новые вершины. Мог бы продать, когда был подъем до $20 000, но думаю придержать до 25-30

Вы такой умный и хороший (этичный) человек, что не могу пройти мимо — выходите из рынка, сливайте нахрен это мыло ))) будьте счастливы, наконец

уже 13 )
Продавай битки, w9w! Серьёзно. Продай хотя бы часть. Это классическая схема спекуляции pump-and-dump.
уже 41300!
Можно было успеть вывести все деньги, я благодаря новостям около $1500 сэкономил (0.5 btc держал), думаю вкладываться bitcoin cash, но пока держу.
19.12.2017 11:35 «Не имеет будущего»: сооснователь Bitcoin.com продал все свои биткоины
20.12.2017 12:05 Курс биткоина рухнул после начала торгов модным Bitcoin Cash
Здесь есть смайлик восторга? :)
А как в случае с CSRF посылают POST-запросы?
В примере wiki по этой атаке
Мэллори: Привет, Алиса! Посмотри, какой милый котик: bank.example.com/withdraw?account=Alice&amount=1000000&for=Mallory
и тут GET запрос.
А как посылают POST?
Если к примеру тикет в техподдержку создается по POST-запросу на https сайте без временного токена (просто проверка куки пользователя), это не безопасно?
Если тикет в техподдержку создается по POST-запросу без временного токена (просто проверка куки пользователя), это не безопасно?


Если нет csrf токена, то это не безопасно. Иногда, даже когда токены прикрепляются к запросу, их можно обойти.

А как посылают POST?


Просто крафтят эксплойт с post запросом на стороннем сайте, жертва переходит по ссылке и выполняет этот запрос (так же можно выполнить этот post запрос, используя xss на уязвимом сайте). Можно создать эксплойт вручную, а можно сэкономить время и сделать его в burp pro.
Я просто не совсем въехал в тему и хочу разобраться для безопасности.
По неопытности я думал что токен передают только в параметрах POST-запроса беря из исходного кода странички (чтобы типа было безопасно). Но как я понял сейчас делают по другому.

Вот для примера проверил популярный сайт и там лайк ставится запросом где просто указывается коммент, в параметрах токена нет (vc.ru). Но токен есть в заголовках запроса:
X-JS-Version:2bdf4615
X-This-Is-CSRF:THIS IS SPARTA!

Это какой метод защиты и как он работает? То есть почему такая защита работает вообще, если токен есть в самом запросе? (и вроде даже одинаковый для разных пользователей).
Со стороннего сайта нельзя перенаправить пользователя для осуществления СSRF-атаки, добавив в заголовки запроса произвольный заголовок — он блокируется политиками CORS
Самый безопасный метод не пользоваться биткоином вообще.
Огромное количество энергии и вычислительных ресурсов тратится в пустоту?
Возможно я старомоден и туповат но это мое IMHO. Это взлом криптозащищенных систем.
Перспективы роста несомненно есть.
Пока не выломали все цифровые подписи. А в последствии мощности системы будут использоваться для взлома акаунтов пользователей системы.
Ну а дальше классика. Воспользуйся средствами пока или не воспользовался другой.
В примере wiki по этой атаке
Мэллори: Привет, Алиса! Посмотри, какой милый котик: bank.example.com/withdraw?account=Alice&amount=1000000&for=Mallory
и тут GET запрос.

Если для подтверждения достаточно просто перейти по ссылке, можно еще так сделать:


Content-Type: text/html

Привет, Алиса! Посмотри, какой милый котик: https://bank.example.com/withdraw?account=Alice&amount=1000000&for=Mallory
<img src="https://bank.example.com/withdraw?account=Alice&amount=1000000&for=Mallory">

Если почтовый клиент настроен на загрузку remote images (как правило, по умолчанию так и есть), то достаточно будет того, чтобы Алиса просто открыла письмо.

Но откуда у почтового клиента Алисы куки?

Из веб-клиента, конечно.


Тут, конечно, смотря какой веб-клиент. Gmail такое заменит на адреса своего прокси, а вот live.com, вроде бы, не заменяет. По крайней мере, раньше не заменял. Плюс всякие корпоративные почтовые веб-интерфейсы типа зимбры.


Бывают и более хитрые ситуации. Например, подтверждение регистрации на сайте (тут кука обычно не проверяется), и последующее использование аккаунта под видом другого человека. Конечно, обычно там случайное значение в урле, но я встречал предсказуемые значения.

Не успел отредактировать, допишу отдельно. Если нужно просто подтвердить по ссылке с предсказуемым значением, разумеется, можно и самому по ней сходить. Смысл может быть в том, чтобы залогировался реальный IP-адрес пользователя (чтобы потом выставить его как злоумышленника, например). Если все остальные IP-адреса соответствуют выходным нодам Tor, то очевидно, кого обвинят.

Пол года назад на сайте криптонатора обнаружил пассивную XSS и раскрытие путей. Написал в саппорт — до сих пор ничего не исправили и даже не ответили.
Обожаю когда по email никто не отвечает. Я бы в законе ввёл за это наказание (нет). Такое создаётся ощущение, что большая часть контор в России — глубоко провинциальные, если не по местоположению, а по мышлению. Дядечка-гендир за 50, выросший в Советском Союзе, охранник, водитель и блондинка-секретарша. Знакомство с IT технологиями ограничивается требованиями законодательства: телефон, касса там, ну бухгалтерия. Сайт если и делается, то за копейки в какой-то унылый конторе, на готовом движке, никем не поддерживается, а то вовсе без оплаченного хостинга.
Также и емейлы.

Так и представляю: обычный рабочий день, директор, весь в своих мыслях и проблемах проходит мимо секретарши и как бы невзначай бросает
— Танечка, я там email нашей фирмы создал, слышал что сейчас это очень модно, ты будешь на него отвечать
— Чевооо? (хлопает глазками)
— Емеил. Последнее слово техники. Вот смотри, как всё просто (показывает), теперь каждый день заходи и проверяй почту

Танечка послушно заходит день, другой, неделю. Писем нет, и она постепенно забивает на это, какой смысл, да и других дел полно. А через год-другой вообще увольняется, пароль больше никто не помнит, а email так и светится на всех сайтах и прочих дубль-гисах, контакт конторы в «модной нынче» глобальной сети.
У меня таких случаев не было, на письма всегда отвечают, хотя бывает очень долго.
В чём-то вы правы. Этот провинциально-советский дух ещё пару десятилетий будет нас сопровождать. А потом мы и сами станем устаревшими.
Можно конечно дружно установить почтовые клиенты на свои смартфоны и ожидать пиликанья в кармане. Но концепция эл. почты почему-то не располагает пользоваться ей — это не сервис мгновенных сообщений. Часто задаюсь вопросом, почему нельзя переработать почту, или глобальнее — уплотнить синхронизацию соц. сетей, почты, телефона, сделать универсальный протокол для всего? И пока я многого не понимаю.
Часто задаюсь вопросом, почему

Потому что конкуренция сервисов этому препятствует. Каждый сайт тянет на себя одеяло.
Прочитал, испугался — какие вы все тут опасные )))
статья замечательная, я хоть и не работаю с безопасностью, но мне было очень интересно почитать, скинул коллегам :3
Выходите из всех этих эфирных битков к дрейнефене, пока они окончательно не превратились в тыкву.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории