Решил я создать себе в профиле описание себя любимого. Зашел, написал, сохранил, посмотрел - захотелось сделать в две строки. Перенос строки энтером не дал результата, но, не долго думая, я, как-то чисто машинально, вписал туда тег br. И он сработал...
"Ага" - сказали суровые сибирские мужики.
Попробовал указать шрифту жирность тегом b. Сработало!
Тут надо сделать отступление: я работаю web-программистом, поэтому с интернетом весьма дружу ;) Опять не долго думая, я решил вписать скрипт с банальным алертом. Кто не в теме - не расстраивайтесь, на понимание смысла поста это не повлияет. Каково было мое удивление когда алерт сработал! Взволнованно пишу об этом в красный линк "ошибка?", а сам начинаю размышлять...
Пишу товарищу о ситуации, перегыгыкиваемся, дружно восклицаем "ОПАНЬКИ!", и садимся писать перехватчик. Он пишет строчку на джаваскрипте, которая отправляет кукисы (грубо, это информация о пользователе), я заливаю на сервер php-скрипт, который сохраняет всё присланное. Запускаем это дело, тестируем друг на друге, кукисы приходят и сохраняются, всё отлично. Время обеденное - отправился на обед. Приду - думаю - а всё уже починили.
НАЧАЛОСЬ
Прихожу - хрен. Глаза мои загорелись, руки задрожали, решил продолжить изыскания. В кукисах куча всяких цифр, разобраться сложно. Пробую подменить сессию (в браузере Опера это делается элементарно), вуаля - я становлюсь другим пользователем. Взлом готов.
Логика проста: вы заходите в мой профиль, скрипт собирает ваши данные и отправляет на другой сервер, тот сервер всё сохраняет. Я время от времени просматриваю лог (историю событий) и выуживаю PHPSESSION, с которым отправляюсь на сайт под видом вас. Со всеми вашими правами и возможностями. Полный беспредел!
А что делать? Публично я об этом написать не могу, приватно я уже написал. Остается только баловаться пока работает и надеяться, что я один такой умный :) Тут надо отвесить поклон в сторону ТМ, поскольку поменять пароль и почтовый адрес можно только зная старый пароль, так что полностью захавать аккаунт не получится. Впрочем, и без того дырища в безопасности ого-го, даже не дырища - магистраль.
Первым на удочку попался latrommi. Какая удача! Разработчик, ну, или бывший, или хз, но вроде "свой" :) Вписал ему строчку джаваскрипта в профиль, и любезно поменял в гараже Ferrari 360 на ВАЗ 2101 :) Радости полные штаны!
Следующим попадает kamikaze. Просто вписываю скрипт перехватчика. Третьим идет маэстро АВП :) Вписываю ему скрипт, портить машинку не хочется. Всё, считаю, что акция удалась, в моих руках 14 страниц "своего контента" одного из святил ресурса, интерес падает.
Тут попадается
пост, где гражданин deniskin пишет какая там сверху чудесная ссылка чтобы сообщать об ошибках. Логинюсь под latrommi, многозначительно отвечаю денискину "Ну-ну" :) Надеюсь, что расшевелятся от этого. Пока то да сё влетают Aist и Alexeyka, вписываю перехватчик и им, пешеходу Алексейке презентую розовый Бентли Флаинг Спур :)
Чувствую себя в матрице - сыпятся цифры и буквы, я по последним символам уже знаю кто там по сайту ходит, точнее - по профилям :) Писать что-то кому-то уже не хочется, прошло часа три-четыре после моего сообщения, а дыра всё так же прекрасно работает. Более того, у меня уже 5 чужих аккаунтов, профиль каждого из которых работает на перехват. Я могу потереть всем посты и обозвать всех приватно или публично от имени перехваченных пользователей. Трындец, уважаемые! Полный трындец! Ползу на хабру проверить как там с этим делом - там всё отлично.