Как стать автором
Обновить

Комментарии 37

А нельзя было бы вычислить арендатора хостинга и регистратора домена и отправить ему судебное постановление по статьям кражи конфиденциальных данных? Ну чтобы закон начал работать в нужную сторону. Как часто такие сайты регистрируются на подставных лиц, если они не могут озаботиться собственной безопасностью?
НЛО прилетело и опубликовало эту надпись здесь
Ну видимо это достойно минуса в карму… Нет ни какой необходимости объявлять о взломе, достаточно того факта, что это явно фишинговый ресурс.
НЛО прилетело и опубликовало эту надпись здесь
Вообще-то судебное постановление выносится судом, и обязательно по обращению лица, права которого нарушены, или его представителя по закону или доверенности. Также от имени неопределённого круга лиц в суд вправе обращаться также прокурор. От кого-либо ещё суд обращений не примет. Так что для поворота закона в нужную сторону заявление надо подавать в полицию, чтобы возбуждали дело по 272 или 273 статье УК, проводили следствие и искали виновных лиц. Вот только есть нюанс: взлом чужой админки также считается незаконным действием, и можно попасть под раздачу заодно, только в отдельном производстве, поскольку это будет считаться уже другим преступлением.
Судебное постановление? Вы детский фильм «рыжий, честный, влюбленный» не смотрели?

Красавчик, братан!

Картинки не загружаются, приходится их вручную открывать…
Интересный прием! Впервые прочитал!
Спасибо, прочитал с интересом!
В целом — как восстановили ход расследования? Просто по пяти и сохранившимся логам и скриншотам?
никогда таких приемов не видел, очень круто
ВК уже вроде сильно зарезали возможность чтения сообщений, по крайней мере нужно получать специальный токен от них, иначе метод падает
Можно мимикрировать под android клиент, взять андройдовский clientId/secretKey (благо легко гуглится) и дальше спокойно юзать любые api методы.
Не понимаю как вы через XSS украли сессию у админа. Прислали ему ссылку с нагрузкой? Но тогда надо знать кто админ. Расскажите.
Нужно понимать, что это не обычный пример, когда вы передаете ссылку вроде:
site.ru/?text=xss_payload

Вы подозреваете, что ваш инпут дойдет до администратора, в качестве таких примеров могут быть: жалоба на свой собственный аккаунт/сообщение с полезной нагрузкой, или контактная форма.

Конкретно в этом случае, я предположил, что раз это фишинг — то администратору нужно где-то видеть украденные логины/пароли.
Я сознательно ввел в логин и пароль XSS пейлоад, который затем отработал, когда администратор захотел просмотреть украденные аккаунты — тем самым отправив мне свои куки, в которых и содержалась сессия
Все понял, не очевидно было для меня. Спасибо.
Вероятно, автор встроил в XSS скрипт и JS-ом передал все данные сессии и куки человека с доступом к админке на свой сервер.

UPD: Так и есть (ссылка)

"Ссылка с нагрузкой" — это так называемый отражённый XSS. А существует ещё хранимый XSS.

Спасибо!

Прогресс не остановить!
А нет там случайно функции обхода двухфакторной аутентификации?

Так что ее обходить. Если юзер достаточно глупый и у него почему-то двухфакторка включена, он и от нее код введет, а дальше получить вечный токен не проблема. Да и проверка на подозрительные места у ВК глупая — спрашивает тот же номер, что юзер уже скорее всего ввел на этапе логина (раньше имейлы были)

Сейчас вроде звонить начали, либо это мне так везло.
Приезжаешь в другую страну, логинишься в вк, думаешь о том как прекрасно жить в мире, где можно получить смс в чужой стране на свой номер абсолютно бесплатно, а тут хопа и вк тебе говорит я ща тебе позвоню, скажи с какого номера…
При этом ему плевать, он после попыток звонка не предлагает смс написать, а у меня вк на сим карте которой я не пользуюсь, чтобы получить звонок в роуминге это нужно аж 10$ закинуть, которые тут же будут сожраны (мегафон).

А с каких пор операторы в роуминге списывают за входящий не принятый звонок?
Мегафон. Там такая-то фишка, плати мол абонплату как дома и получай свои безлимиты, только они не уточняют что платить нужно ежедневно столько, сколько ты платишь дома за месяц. Как то отключить не разбирался, не лучшее времяпрепровождение.
Ну вот на второй симке у меня и сняли за первый день как за месяц, ушла в ноль, после чего входящие только смс, а звонки вообще ни в каком виде не доходят.
Нужно подключить услугу «Просто роуминг». Новая фишка, вместо подключения услуги меняют условия, а для обычных условий нужно наоборот подключать услугу. Привыкшие к лишним услугам абоненты ищут, чего отключить, и не находят — профит!..
Но ведь чтобы узнать номер звонившего не нужно принимать звонок.
Я когда включал 2ФА, мне предложили распечатать 10 резервных кодов, что я и сделал. Однажды даже пользовался ими, когда не было телефона под рукой. И вам советую. И тогда снова жизнь покажется радостной.
Очень приятно видеть, что есть сознательные граждане!
Совсем недавно, столкнулся с аналогичной ситуацией, взламывать не пытался даже —
передал в CERT-GIB Incident Response Team, продублировал касперычу (на что даже реакции не было) и в нетоскоп. Не 10 минут, но за 1.5 недели бан выписали, правда пришлось сделать для них полный анализ, подготовить скриншоты и ссылки. Надеюсь, ребятам и административная ответственность влетит т.к. занимаются откровенным вымогательством!

Около 2 лет назад я по приколу написал свой сервер, который имитирует работу oauth и api ВКонтакте, и сейчас абсолютно случайно увидел ссылку на свой репозиторий в этой статье. Флешбек так флекбек....


Спасибо за статью, было интересно

Около 2 лет назад я по приколу

Ну да, ну да. По приколу.

Можешь ридми посмотреть :D

А ты неплох. Не думал что ещё остались сайты которые не закрывают xss. Особенно фишинговые…
НЛО прилетело и опубликовало эту надпись здесь
Мой пездюк
Очень грамотная реклама сервиса под видом взлома самого сервиса.
Я одобрю этот коммент, чтобы уточнить — были отправлены жалобы в клаудфлеер, на домены, на хостинг, а также в киви и яндекс для дальнейшего бана кошельков, а база скомпроментированных пользователей передана в ВК. Сам не нуждаюсь в том, чтобы производить такую рекламу. Но, спасибо, что «грамотная» :)

Да здравствует справедливость! (даже захотелось короткометражку снять)))


Узнать бы ещё, что можно делать с смсками про взломанные карты — чтобы негодяям так же эффективно досталось!

Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории