Комментарии 37
Красавчик, братан!
В целом — как восстановили ход расследования? Просто по пяти и сохранившимся логам и скриншотам?
site.ru/?text=xss_payload
Вы подозреваете, что ваш инпут дойдет до администратора, в качестве таких примеров могут быть: жалоба на свой собственный аккаунт/сообщение с полезной нагрузкой, или контактная форма.
Конкретно в этом случае, я предположил, что раз это фишинг — то администратору нужно где-то видеть украденные логины/пароли.
Я сознательно ввел в логин и пароль XSS пейлоад, который затем отработал, когда администратор захотел просмотреть украденные аккаунты — тем самым отправив мне свои куки, в которых и содержалась сессия
UPD: Так и есть (ссылка)
"Ссылка с нагрузкой" — это так называемый отражённый XSS. А существует ещё хранимый XSS.
Прогресс не остановить!
А нет там случайно функции обхода двухфакторной аутентификации?
Так что ее обходить. Если юзер достаточно глупый и у него почему-то двухфакторка включена, он и от нее код введет, а дальше получить вечный токен не проблема. Да и проверка на подозрительные места у ВК глупая — спрашивает тот же номер, что юзер уже скорее всего ввел на этапе логина (раньше имейлы были)
Сейчас вроде звонить начали, либо это мне так везло.
Приезжаешь в другую страну, логинишься в вк, думаешь о том как прекрасно жить в мире, где можно получить смс в чужой стране на свой номер абсолютно бесплатно, а тут хопа и вк тебе говорит я ща тебе позвоню, скажи с какого номера…
При этом ему плевать, он после попыток звонка не предлагает смс написать, а у меня вк на сим карте которой я не пользуюсь, чтобы получить звонок в роуминге это нужно аж 10$ закинуть, которые тут же будут сожраны (мегафон).
Ну вот на второй симке у меня и сняли за первый день как за месяц, ушла в ноль, после чего входящие только смс, а звонки вообще ни в каком виде не доходят.
Совсем недавно, столкнулся с аналогичной ситуацией, взламывать не пытался даже —
передал в CERT-GIB Incident Response Team, продублировал касперычу (на что даже реакции не было) и в нетоскоп. Не 10 минут, но за 1.5 недели бан выписали, правда пришлось сделать для них полный анализ, подготовить скриншоты и ссылки. Надеюсь, ребятам и административная ответственность влетит т.к. занимаются откровенным вымогательством!
Около 2 лет назад я по приколу написал свой сервер, который имитирует работу oauth и api ВКонтакте, и сейчас абсолютно случайно увидел ссылку на свой репозиторий в этой статье. Флешбек так флекбек....
Спасибо за статью, было интересно
Да здравствует справедливость! (даже захотелось короткометражку снять)))
Узнать бы ещё, что можно делать с смсками про взломанные карты — чтобы негодяям так же эффективно досталось!
Как я взломал мошенников, или просто внутренности фишинг-панелей