SQL injection вконтакте
Автор: prostoi9901 | Дата: 25-03-2013, 03:07 | Комментариев: 0 | Просмотров: 20 242
SQL injetion in contact / Sqln иньекция Вконтакте
Речь пойдёт об иньекции в базе данных вконтакте.
Что же такое SQL иньекция? ( с англ. SQL injection)
Прежде всего это самая распространённая уязвимость на сервере базы данных Sql, MySQL и подобных баз, позволяющая злоумышленникам проникать в базу данных, где хранятся:
логины, пароли, настройки сайта и прочие вкусности для так называемых "ХаКёров".
Как же нашлась уязвимость вконтакте?
При вставлении авторизации на сайт или на страницу с уязвимостью SQL injetion, она добавляет в базу данных сайта на установленном скрипте вконтакте, логины и пароли в поле DB: users_vk или просто users.
Немного реалистичности и тактики:
Я зашол на сайт жертвы, для реализации SQL injection ( Не буду вдавться в подробности почему я это делаю...) и решил поставить для тестирования авторизацию через вконтакте.
После чего, сразу же, без всяких нюньческих оснований, на сайте жертвы неожиданно появилась бд: users_vk,
я думал что это просто юзеры которые вошли на сайт ( хотя так и есть) и там высвечивается: mail, Имя фамилия ник, пароль, телефон, Id пользователя... думал я значит: нихуя сибе, кактакжеяебатьахуевайу :D. После чего решил войти через свой аккаунт чтобы удостоверится что это правда, и как не кстати, это чистая Правда.
Очистил кеш, куки, и прочие браузерские грязни и зашол на свой аккаунт, после чего провёл SQL иньекцию, и поверьте мне, я чуть в ШтоНы не насраЛ :D, думал это какайта шуточка с базой, а вот и нет, дал другу ссылку на сайт и пропросил войти на сайт через вконтакте, значит он входит... Проверяю Бд, я достаточно здержаный при взломе, но при увиденном мною аккаунта друга, я просто ахуел!!! , поставил другу статус "Я я пидараз" и он мне пишет:
Меня взломали, помоги пажалуйсто, буду блогадарен!
только писал он на украинском:
Мене зламали, допоможи пажалуйста, буду вдячний!
Все пароли зашифрованы в md5 или unix crypt,
поэтому после взлома, вы берёте на себя большую
ответсвтенность по дальнейшим реализациям и
взлома вконтакте.
Вот собственно и весь диалог моей статьи ( хотя статьёй её вовсе не назовёшь)
Мой диалог не написан для взлома или для чего нибуть ещё, он написан для глупых веб мастеров вконтакте, которые пытаются обогнать фейсбук!
Не кому не рекомендую использовать этот диалог в целях кого-то взломать, этот диалог обозначает ошибки веб дизайнеров и программистов.
Спасибо вам за прочтение такого откровенного мною диалога.
Пароль на все архивы: hh
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.