Hakkerointi Ystävykset, osa IEDITOR huomautus: Minulla on lähetetty näitä hakata toiveet julkaisemista tietoturva-aukkoja ja pakottaa verkkojen sulkea niitä. Älä lähetä minulle sähköpostia, MySpace viestejä tai Ystävykset viestejä pyytää minua viettää vapaa-aikaa auttaa sinua kopioida tämän hakata. Sekä Myspace ja Ystävykset ovat muuttaneet sivustoja niin paljon, että nämä hakata enää toimi. Lisäksi tämä artikkeli sisälsi paljon enemmän kuin tarpeeksi tietoa kopioida nämä hakata (kun he työskentelivät), ja silti sisältää riittävästi tietoa rakentaa samanlainen hakata tänään.
Jos et ymmärrä miten tehdä samanlaisia hakata, kannattaa tehdä oma tutkimus. Jos haluat minun apua oppimisen CGI ja DHTML /JavaScript, olen käytettävissä itsenäinen yrittäjä ja kouluttaja nopeudella $ 60 /hr. Jos otat yhteyttä minuun pyytää apua varastaa muiden ihmisten henkilökohtaisia tietoja välitän sähköpostitse asianomaisen sosiaalisen verkoston väärinkäyttöä yhteyshenkilö, ja suosittelen, että he deaktivoida account.This on ensimmäinen sarjassa artikkeleita, jotka altistavat tietoturva-aukkoja sosiaaliseen verkoissa. Kaksi hakata Tässä kuvatut ovat cross-site scripting attacks.
My Ystävykset profiili on linkki kotisivuilleni. Ja minun kotisivu on upotettu iframe se, joka käyttää GET merkkijono soittaa "Välitä tämän profiilin toiselle käyttäjälle" -toiminnon friendster.In Toisin sanoen, lataamalla sivuni, selaimesi lataa sivu, joka lähettää sähköpostia minulle kautta Ystävykset palvelu. Tämä sähköposti sisältää: ensimmäinen ja viimeinen nimi, sähköpostiosoite käytit allekirjoittamaan Ystävykset, sinun Ystävykset käyttäjän id, ja linkki jota voin käyttää allekirjoittaa Ystävykset ja automaattisesti tulla ystäväsi.
Ei ole kirjaa tämän minne tahansa Ystävykset huomioon; se on täysin invisible.Here on koodi minun kotisivu: Tässä on esimerkki siitä, mitä saa lähettää sähköpostia: Matt Chisholm on toimittanut käyttäjän tiedot teille Matt'spersonal verkoston Friendster.Matt on 27 San Franciscossa, CA.If sinua ovat Ystävykset jäsen, voit katsella Matt profiili byclicking alla: http: //www.friendster.com/user.jsp? id = 229243If et ole Ystävykset vielä jäsen, voit liittyä Ystävykset byclicking alla: http: //www .friendster.com /join.
jsp? inviteuser = 229243Friendster on verkkoyhteisö, joka yhdistää ihmisiä networksof ystäviä dating tai tehdä uusia friends.Once liityt Ystävykset, sinut yhdistetään automaattisesti yourfriend Matt, ja kaikki Mattin friends.Friendster on vahingossa läpäisemätön tämän hyökkäyksen, mutta koska olet usein kirjautunut kuluessa hetkiä kirjautumisen, ja kun et onnistunut pysyä kirjautuneena, sivusto on joko liian hidas tai siihen mennessä profiiliini ei ole enää sinun "henkilökohtainen verkko . "turva-aukkoja Myspace, kun he ovat mennyt paremmin, ovat paljon syvemmällä.
Jo pitkään he sallivat vapaa HTML pääsy kaikilla aloilla, ja se mahdollistaa edelleen jonkin verran HTML entry.For pitkään, voit upottaa kuva Myspace profiilin, joka kutsui toinen Myspace-toiminto, joten voit tehokkaasti voi aiheuttaa käyttäjä katselu profiilisi (tai mitään tekstiä, joka on luotu) suorittaa kaikki Myspace toiminto omalla parameters.In nämä huumaava päivinä Myspace hackability, Jonathan & olen luonut mielenkiintoisia myspace hakata, jonka hän kuvataan myöhemmässä post.
At jossain vaiheessa , joku Myspace wised, ja pysähtyi mahdollistaa http GET pyyntöihin, ja sitten he mustalle listalle ja tunnisteet, lisätään javascript sivuillaan, jotteivät ne ladataan kehyksiin, ja vähintään yksi piste, joku poistaa hakata minun profiilia. (Plus jostain syystä ne eivät salli # merkkejä tekstiin.) Myspace ei ole täysin suljettu pois niiden tietoturva-aukkoja, kuitenkin. Lukuisat javascript Tapahtumakäsittelijät vielä sallittuja, ja niin ovat kuvan tunnisteita, joten voit upottaa 1x1 kuva, ja suorittaa mielivaltaista JavaScript kuvaa load.
My javascript valinta yrittää kirjautua kuka katselee profiiliini, lähettämällä sisältöä launchIC toiminto, joka sisältää katsojan UID, ja kaikkien niiden selaimen evästeet, PHP minun sivusto, joka lähettää sen me.The sähköpostiin saan näyttää näin (voit nähdä minun käyttäjätunnus siellä heille annetaan memberID, ja eväste pitoisuus vaihtelee suuresti riippuen siitä, mitä käyttäjä on tekemässä): MySpace näkymä fromIMREQUESTCHECK = {TS '2004-02-05 00:43:03 "} MYUSERINFO = M) NOMP_; R2P6% P]>