hacking Friendster, NOTA Parte IEditor'S: he publicado estos hacks con la esperanza de dar a conocer los agujeros de seguridad y obligando a las redes para cerrarlas. Por favor, no enviarme correo electrónico, mensajes de myspace, o mensajes friendster pidiéndome que pasar mi tiempo libre que ayuda a duplicar este hack. Tanto MySpace y Friendster han modificado sus sitios lo suficiente para que estos hacks ya no funcionan.
Además, este artículo contiene mucho más que suficiente información para duplicar estos hacks (cuando trabajaban), y todavía contiene suficiente información para construir hacks similares hoy. Si usted no entiende cómo hacer hacks similares, considere hacer su propia investigación. Si quieres mi ayuda CGI aprendizaje y DHTML /JavaScript, estoy disponible como un contratista independiente y el instructor, a razón de $ 60 /hr.
Si usted en contacto conmigo para pedir ayuda en el robo de información personal de otras personas voy a pasar su correo electrónico a la persona de contacto abuso de la red social relevante, y recomendar que desactivar su account.This es el primero de una serie de artículos que exponen fallas de seguridad en la vida social redes. Los dos cortes se describen aquí son cross-site scripting perfil attacks.My Friendster tiene un enlace a mi página de inicio.
Y mi página de inicio tiene un iframe incrustado en ella, que utiliza una cadena get llamar a la "transmita la presente perfil de otro usuario" Función de friendster.In otras palabras, mediante la carga de mi página web, el navegador carga una página que envía un correo electrónico a mí , a través del servicio de Friendster. Este correo electrónico contiene: su nombre y apellido, el correo electrónico que utilizó para registrarse a Friendster, Friendster su identificación de usuario y un enlace que puedo usar para inscribirse a Friendster y automáticamente se convierta en tu amigo.
No hay ningún registro de esta en cualquier lugar de su cuenta de Friendster; está totalmente invisible.Here está el código en mi página de inicio: He aquí una muestra de lo que se envió en el correo electrónico: Matt Chisholm ha remitido el perfil de un usuario a usted de la red Matt'spersonal en Friendster.Matt es 27 en San Francisco, que CA.If son un miembro Friendster, puede ver el perfil de Matt byclicking a continuación: http: //www.friendster.com/user.jsp id = 229243If usted aún no es un miembro Friendster, puede unirse Friendster byclicking abajo: http: //www .friendster.com /join.
jsp? inviteuser = 229243Friendster es una comunidad en línea que conecta a personas a través de amigos networksof para cita o hacer nueva friends.Once te unes Friendster, se conectará automáticamente a yourfriend Matt, y todos friends.Friendster de Matt es inadvertidamente impermeable a este ataque, sin embargo, ya que a menudo se ha identificado en el plazo de los momentos de inicio de sesión, y cuando lo hace con éxito Permanecer conectado, el sitio es demasiado lento o en ese momento mi perfil ya no está en su "red personal .
"Los agujeros de seguridad en Myspace, mientras que han mejorado, son mucho más profundo. Durante mucho tiempo, se les permite la entrada libre del HTML en todos los campos, y todavía permiten algo de HTML entry.For mucho tiempo, usted podría incrustar una imagen en su perfil de Myspace, que llama a otra función Myspace, por lo que efectivamente podría causar una visualización de usuario su perfil (o cualquier cosa con el texto que ha creado) para ejecutar cualquier función Myspace con su propio parameters.
In estos días embriagadores de Myspace hackability, Jonathan y yo creamos algunos hacks myspace interesantes, que va a describir en una post.At tarde algún momento , alguien en Myspace wised, y se detuvo permitiendo peticiones HTTP GET, y luego en la lista negra de los y las etiquetas, añadió javascript para sus páginas para evitar que se están cargando en marcos, y en al menos un punto, alguien sacó un truco de mi perfil. (Además, por alguna razón que no permiten caracteres # en el texto.) Myspace no ha cerrado completamente fuera de sus agujeros de seguridad, sin embargo.
Todavía se permiten los numerosos controladores de eventos de javascript, y también lo son las etiquetas de imagen, por lo que se pueden incrustar una imagen de 1x1, y ejecutar javascript arbitrario en la imagen load.My javascript de elección intenta iniciar una sesión que está viendo mi perfil, enviando el contenido de la función launchIC, que contiene el UID del espectador, y todos sus cookies del navegador, a PHP en mi sitio, que envía por correo a me.
The por correo electrónico consigo miradas como esto (se puede ver mi ID de usuario allí de ser asignado a memberID, y la cookie contenido varía mucho dependiendo de lo que el usuario ha estado haciendo): vista myspace fromIMREQUESTCHECK = {'2004-02-05 00:43:03' ts} MYUSERINFO = M) NOMP_; R2P6% P]>
¿Qué es Google Adsense?