Войти
Закрыть

SQL injection вконтакте

Новости / SQL

SQL injection vk.com, вконтакте
SQL injetion in contact / Sqln иньекция Вконтакте
Речь пойдёт об иньекции в базе данных вконтакте.

Что же такое SQL иньекция? ( с англ. SQL injection)
Прежде всего это самая распространённая уязвимость на сервере базы данных Sql, MySQL и подобных баз, позволяющая злоумышленникам проникать в базу данных, где хранятся:
логины, пароли, настройки сайта и прочие вкусности для так называемых "ХаКёров".

Как же нашлась уязвимость вконтакте?
При вставлении авторизации на сайт или на страницу с уязвимостью SQL injetion, она добавляет в базу данных сайта на установленном скрипте вконтакте, логины и пароли в поле DB: users_vk или просто users.

Немного реалистичности и тактики:
Я зашол на сайт жертвы, для реализации SQL injection ( Не буду вдавться в подробности почему я это делаю...) и решил поставить для тестирования авторизацию через вконтакте.
После чего, сразу же, без всяких нюньческих оснований, на сайте жертвы неожиданно появилась бд: users_vk,
я думал что это просто юзеры которые вошли на сайт ( хотя так и есть) и там высвечивается: mail, Имя фамилия ник, пароль, телефон, Id пользователя... думал я значит: нихуя сибе, кактакжеяебатьахуевайу :D. После чего решил войти через свой аккаунт чтобы удостоверится что это правда, и как не кстати, это чистая Правда.
Очистил кеш, куки, и прочие браузерские грязни и зашол на свой аккаунт, после чего провёл SQL иньекцию, и поверьте мне, я чуть в ШтоНы не насраЛ :D, думал это какайта шуточка с базой, а вот и нет, дал другу ссылку на сайт и пропросил войти на сайт через вконтакте, значит он входит... Проверяю Бд, я достаточно здержаный при взломе, но при увиденном мною аккаунта друга, я просто ахуел!!! , поставил другу статус "Я я пидараз" и он мне пишет:
Меня взломали, помоги пажалуйсто, буду блогадарен!
только писал он на украинском:
Мене зламали, допоможи пажалуйста, буду вдячний!

Все пароли зашифрованы в md5 или unix crypt,
поэтому после взлома, вы берёте на себя большую
ответсвтенность по дальнейшим реализациям и
взлома вконтакте.

Вот собственно и весь диалог моей статьи ( хотя статьёй её вовсе не назовёшь)

Мой диалог не написан для взлома или для чего нибуть ещё, он написан для глупых веб мастеров вконтакте, которые пытаются обогнать фейсбук!

Не кому не рекомендую использовать этот диалог в целях кого-то взломать, этот диалог обозначает ошибки веб дизайнеров и программистов.

Спасибо вам за прочтение такого откровенного мною диалога.

Похожие новости

Комментарии (43)

Зря зря зря зря ....
Это будет лакомый кусочек для многих но не забывайте про школьников и прочих которые просто будут пытаться ломануть и продавать за 1 рубль если будите продавать продавайте хотя бы за нормальную цену dj
newkoss newkoss 25 марта 2013 03:29 Ответить
Да ты прям er что это за фигня du
Mr.X Mr.X 25 марта 2013 03:46 Ответить
Цитата: Mr.X
Да ты прям er что это за фигня du

Ну статейка то супер не спорю db но просто просто я уже такую школоту знаю которой просто на всех срать и не хера не шарит а просто пабликами пользуется где мозги нада чтоб на 2 кнопки нажать и продает чтоб чтоб потом похвастаться 100 руб**ми cap
newkoss newkoss 25 марта 2013 04:02 Ответить
Чувак, это называется "монолог" cv. А так спасибо, поржал. Фантазер хренов notbad
SyGaK SyGaK 25 марта 2013 05:12 Ответить
Статейка супер, автор молодец. db Но вот только щас у него личка разорвется от сообщений "Дай акк вк" smile-50
Bataxe Bataxe 25 марта 2013 05:18 Ответить
Чета я вабще невехал тоисть уязвимость существует на уязвимом сайте с авторизацией через контакт ели как ? Можно видео как реализовать или хотяб 1 скрин ! Ато я ваще невежаю в ети слова ! fuuu
Dovbnyak Dovbnyak 25 марта 2013 06:21 Ответить
Ну если так тогда статтю под хайд ато завтраже закроют уязвимость !!!!!!!!!!
Dovbnyak Dovbnyak 25 марта 2013 06:26 Ответить
какая нах уязвимость. ТСу бы русский язык выучить, для начала, а потом херню всякую писать )
lordfreedom lordfreedom 25 марта 2013 06:52 Ответить
Ну тут есть уйма НО! НАЙДИ ЩАС ГОВНОСАЙТ С УЯЗВИМОСТЮ SQL ДА ИЩЕ С АВТОРИЗАЦИЕЙ ЧЕРЕЗ КОНТАКТ ! ОЧ ТЯЖЕЛО НУ ДЛЯ КОГОТО ДА А ДЛЯ КОГОТО И НЕТ !
Dovbnyak Dovbnyak 25 марта 2013 07:00 Ответить
Итог: сливаем бд больших проектов а не каких то маленьких сайтиков.
bata bata 25 марта 2013 11:39 Ответить
Ну, во-первых, ЭТО-не диалог а, скорее-МОНОЛОГ )) Ну а во-вторых-стОит попробовать, спасибо гарантировано)))
besm besm 25 марта 2013 12:08 Ответить
Сам VK так *** взломаеш ! А вот с офторизацие это еще надо выебатся чтоб нати такой сайт.
Mr.TROLOLO Mr.TROLOLO 25 марта 2013 13:08 Ответить
Автор 3.14ЗДОБОЛ у меня есть форум, с прикрученной авторизацией через вк, никаких user_vk там нету.
trix88 trix88 25 марта 2013 13:20 Ответить
Авторизация происходит через API.
Нет там никаких users_vk.
exploit exploit 25 марта 2013 13:36 Ответить
Что бы так просто контакт отдал всю БД с паролями при простом запросе? ТС, сколько ты дунул?

Что бы вывести столбцы и строки нужен специально сформулированный запрос.
Например: что бы зайти под учёткой админа на этом сайте надо ввести в поле логин OR `id`=1 тем самым мы говорим MySQL что возвращать результат при id юзера равным единице.

P.S. Ждём видео!!1
VANS VANS 25 марта 2013 14:23 Ответить
Цитата: VANS
P.S. Ждём видео!!1

Полностью согласен trollface. Автор, дерзай cv
SyGaK SyGaK 25 марта 2013 14:37 Ответить
По мне чет это бред какой-то) или может я не чего не понимаю и нужно еще раз в школу походить)
jeka999999 jeka999999 25 марта 2013 15:00 Ответить
Цитата: jeka999999
По мне чет это бред какой-то) или может я не чего не понимаю и нужно еще раз в школу походить)


+100пяццот dj
HeRTZ HeRTZ 25 марта 2013 15:01 Ответить
Вопщем задался этой целью. На соседнем форуме человек тоже пишет, что это шлак сейчас я сам попробую найти такой сайт и слить отпишусь о результе через пару часов.
Mr.TROLOLO Mr.TROLOLO 25 марта 2013 15:15 Ответить
Вобщем и пару часов непрошло решил отписаться.
Во 1ых автор видемо нетолько дунул, но и шмыгонул.
Во 2ых я даже усебя со спарсеной бызы несмог найти сайт с авторизацией в вк а точнее сайт с дырой.
А теперь давайте подумаем что могло быть у этого обдолбаноо типца. Скорее всего он попал на сайт фейк и слил уже с фейка а НЕ с вк.
Ну, а от себя добавлю лично автору. Ты вследуйщий раз напиши статью как ты взломал коды доступа от ядерного палегона в Неваде. Вот тогда хоть посмеёмся.
А так тебе я ставлю кэпа cap
Mr.TROLOLO Mr.TROLOLO 25 марта 2013 16:22 Ответить
Цитата: Mr.TROLOLO
Вобщем и пару часов непрошло решил отписаться.
Во 1ых автор видемо нетолько дунул, но и шмыгонул.
Во 2ых я даже усебя со спарсеной бызы несмог найти сайт с авторизацией в вк а точнее сайт с дырой.
А теперь давайте подумаем что могло быть у этого обдолбаноо типца. Скорее всего он попал на сайт фейк и слил уже с фейка а НЕ с вк.
Ну, а от себя добавлю лично автору. Ты вследуйщий раз напиши статью как ты взломал коды доступа от ядерного палегона в Неваде. Вот тогда хоть посмеёмся.
А так тебе я ставлю кэпа cap


Оценка мощная,один кэпcv
BOSK BOSK 25 марта 2013 16:25 Ответить
Цитата: BOSK
Цитата: Mr.TROLOLO
Вобщем и пару часов непрошло решил отписаться.
Во 1ых автор видемо нетолько дунул, но и шмыгонул.
Во 2ых я даже усебя со спарсеной бызы несмог найти сайт с авторизацией в вк а точнее сайт с дырой.
А теперь давайте подумаем что могло быть у этого обдолбаноо типца. Скорее всего он попал на сайт фейк и слил уже с фейка а НЕ с вк.
Ну, а от себя добавлю лично автору. Ты вследуйщий раз напиши статью как ты взломал коды доступа от ядерного палегона в Неваде. Вот тогда хоть посмеёмся.
А так тебе я ставлю кэпа cap


Оценка мощная,один кэпcv

Ну а как еще оценить-то можно ?
Mr.TROLOLO Mr.TROLOLO 25 марта 2013 16:28 Ответить
Вот щас лазил по просторам инета))послку хотел отследить с ебэя и тут есть авторизаяция через вк!юзайте >> http://irc.lv/qna/%D0%9A%D0%B0%D0%BA_%D0%BE%D1%82%D1%81%D0%BB%D0%B5%D0%B4%D0%B8%
D1%82%D1%8C_%D0%BF%D0%BE%D1%81%D1%8B%D0%BB%D0%BA%D1%83_%D0%BD%D0%B0_ebay_com
Цитата: Dovbnyak
Ну тут есть уйма НО! НАЙДИ ЩАС ГОВНОСАЙТ С УЯЗВИМОСТЮ SQL ДА ИЩЕ С АВТОРИЗАЦИЕЙ ЧЕРЕЗ КОНТАКТ ! ОЧ ТЯЖЕЛО НУ ДЛЯ КОГОТО ДА А ДЛЯ КОГОТО И НЕТ !
kstovski777 kstovski777 25 марта 2013 16:40 Ответить
Цитата: exploit
Авторизация происходит через API.
Нет там никаких users_vk.

бд создаётся на уязвимом сайте с SQL injection, учись читать!
prostoi9901 prostoi9901 25 марта 2013 16:43 Ответить
Друзья, специально создам сайт на денвере, скину вам и советую заходить со своих акков, чтобы было культурней ( Ну типа кто из нас школота)
prostoi9901 prostoi9901 25 марта 2013 16:46 Ответить
Да даже создавать не нужно ты просто скинь сайт с иньекцией. И многие протестят, я заберу обратно свои слова.
Mr.TROLOLO Mr.TROLOLO 25 марта 2013 16:58 Ответить
cap Не ужели в это кто-то поверил cap
Smile98 Smile98 25 марта 2013 17:05 Ответить
Цитата: Smile98
cap Не ужели в это кто-то поверил cap

о боже, ты то ещё кто?
prostoi9901 prostoi9901 25 марта 2013 17:06 Ответить
Цитата: prostoi9901
Цитата: Smile98
cap Не ужели в это кто-то поверил cap

о боже, ты то ещё кто?

твой отец
я пашутил)) ни пей миня okok
P.S поржал.. го видео?
s0lo0 s0lo0 25 марта 2013 18:22 Ответить
Интересно
vip3294 vip3294 25 марта 2013 18:24 Ответить

Добавление комментария

  • Вопрос: И выйдет девушка к тебе, Водой окатит из колодца, Чтобы в суровом октябре Ты мог ********
  • Введите слова

Навигация

SQL injection вконтакте » happy-hack | IT уголок