Hacking Friendster, REMARQUE partie IEditor: Je l'ai posté ces hacks dans l'espoir de connaître les failles de sécurité et en forçant les réseaux pour les fermer. S'il vous plaît ne pas envoyer ma messagerie, les messages de myspace, ou des messages friendster me demandant de passer mon temps libre pour vous aider à dupliquer ce hack. Les deux Myspace et Friendster ont modifié leurs sites assez pour que ces hacks ne fonctionnent plus.
En outre, cet article contenait beaucoup plus de suffisamment d'informations pour dupliquer ces hacks (quand ils ont travaillé), et contient encore suffisamment d'informations pour construire des hacks similaires aujourd'hui. Si vous ne comprenez pas comment faire hacks similaires, envisager de faire vos propres recherches. Si vous voulez mon CGI aide d'apprentissage et de DHTML /JavaScript, je suis disponible comme un entrepreneur indépendant et instructeur au taux de 60 $ /h.
Si vous me contactez demander de l'aide dans le vol de renseignements personnels d'autres personnes que je vais transmettre votre e-mail à la personne abus de contact du réseau social pertinentes, et de recommander qu'ils désactiver votre account.This est le premier d'une série d'articles qui exposent les failles de sécurité dans le domaine social réseaux. Les deux hacks décrits ici sont cross-site scripting profil attacks.My Friendster a un lien vers ma page d'accueil.
Et ma page d'accueil a un iframe noyé dans la masse, qui utilise une chaîne de get appeler "avant ce profil à un autre utilisateur" fonction de friendster.In d'autres termes, en chargeant ma page Web, votre navigateur charge une page qui envoie un courriel à moi , via le service Friendster. Ce courriel contient: votre prénom et nom, l'email que vous avez utilisé pour vous inscrire à Friendster, Friendster user-id, et un lien que je peux utiliser pour signer jusqu'à Friendster et automatiquement devenir votre ami.
Il n'y a aucune trace de cette n'importe où sur votre compte Friendster; il est totalement invisible.Here est le code dans ma page d'accueil: Voici un échantillon de ce qui sera envoyé par courrier électronique: Matt Chisholm a transmis le profil d'un utilisateur de vous à partir du réseau Matt'spersonal sur Friendster.Matt est 27 à San Francisco, vous CA.If sont un membre Friendster, vous pourrez voir le profil de Matt byclicking ci-dessous: http:? id = 229243If //www.friendster.com/user.
jsp vous n'êtes pas encore membre Friendster, vous pouvez rejoindre Friendster byclicking ci-dessous: http: //www .friendster.com /join.jsp? inviteuser = 229243Friendster est une communauté en ligne qui relie les gens grâce à des amis networksof pour la datation ou de faire nouvelle friends.Once vous rejoignez Friendster, vous serez automatiquement connecté à yourfriend Matt, et toute la friends.
Friendster de Matt est, par inadvertance, imperméable à cette attaque, cependant, puisque vous êtes souvent déconnecté après des moments de connexion, et quand vous ne succès rester connecté, le site est trop lent ou par ce point mon profil est plus dans votre "réseau personnel "Les trous de sécurité sur Myspace., alors qu'ils ont pris du mieux, sont beaucoup plus profond. Pendant longtemps, ils ont permis l'entrée libre de HTML dans tous les domaines, et ils permettent encore quelques entry.
For HTML longtemps, vous pourriez intégrer une image dans votre profil Myspace, qui appelle une autre fonction Myspace, afin que vous efficacement pourriez causer un visionnement d'utilisateur votre profil (ou quoi que ce soit avec le texte que vous avez créé) pour exécuter toute fonction Myspace avec votre propre parameters.In ces jours grisants de Myspace hackability, Jonathan et moi avons créé quelques hacks myspace intéressantes, qu'il décrira dans un post.
At plus tard, certains points , quelqu'un à Myspace wised, et arrêté permettant demandes HTTP GET, et puis ils la liste noire les balises et, ajouté javascript pour leurs pages pour éviter qu'ils ne soient chargés dans des cadres, et à au moins un point, quelqu'un enlevé un hack de mon profil. (Plus pour une raison quelconque, ils ne permettent pas les caractères # dans le texte.) Myspace n'a pas complètement fermé leurs trous de sécurité, cependant.
Les nombreux gestionnaires d'événements JavaScript sont toujours autorisés, et sont donc les balises d'image, de sorte que vous pouvez intégrer une image de 1x1, et d'exécuter du code JavaScript arbitraire sur l'image load.My javascript de choix tente de se connecter qui consulte mon profil, en envoyant le contenu de la fonction launchIC, qui contient l'UID du spectateur, et l'ensemble de leurs cookies de votre navigateur, à PHP sur mon site où il mails à me.
The courriel que je reçois ressemble à ceci (vous pouvez voir mes userid là-bas d'être affecté à memberid, et le cookie contenu varie grandement en fonction de ce que l'utilisateur a été fait): vue myspace fromIMREQUESTCHECK = {'2004-02-05 00:43:03' ts} MYUSERINFO = M) NOMP_; R2P6% P]>