Какой-то знаменитый хакер по имени Gupta смог накрутить немного денег на сайте, который я сейчас сопровождаю и купить себе немного карточек памяти. Нафига они ему нужны, я не понял, но он их набрал аж на $600. Может кто слышал о таком? Я погуглил и нашел кучу разных людей под этим именем или ником, но фиг его знает, кто это. По крайней мере у нас на работе о нем слышали.
Глюк был банален - DoubleClick. За счет двойного клика он накручивал деньги на одной из игр, за которые начисляются баллы, а потом эти баллы использовал для покупки. Чтобы народ особо не расслаблялся, баллы не позволяют полностью оплатить товар, они только дают скидку, поэтому хакеру при покупке памяти пришлось указывать кредитную карту.
Ну кредитная карта возможно и ворованная, и вся информация о хакере в аккаунте тоже скорей всего лажа. Но адрес доставки оказался Вашингтоном. Два заказа и оба по разным адресам и получателям, но в одном и том же районе. Самое интересное, что ко второму заказу парень расслабился. Почувствовал безнаказанность и стал больше проводить на сайте времени. Подозреваю, что второй раз он отправлял даже к себе домой.
Из всех багов, которые есть на сайте, он нашел самый безобидный. За то, чтобы получить $600 он каждый день дважды кликал в игру на протяжении нескольких месяцев. Вот думаем, может отправить ему поздравительную открытку за такое терпение и отвагу :). Лично я бы не смог так долго заниматся кликами ради накрутки. Баг этот уже давно закрыт, поэтому все только поржали над хакером и пошли работать дальше.
Понравилось? Кликни Лайк, чтобы я знал, какой контент более интересен читателям. Заметку пока еще никто не лайкал и ты можешь быть первым
Молодца!
Написал бы ему что Русский Админ за тобой следит! Он бы аписался бы.
Он, вероятно, не вручную кликал, а написал прогу для этого дела. Так что не нужно спешить "ржать".
Если бы он написал программку, то смог бы бомбить на много больше поинтов. Это как двойной клик в голосовании. Много раз быстро кликаешь кнопку, пока страница не перегрузиться и сервер не учтет голос. Если кликать очень быстро, то можно и дважды и трижды проголосовать.
Если написать программку, которая забомбит сервер запросами, то она будет голосовать более 2 раз в день по любому. Программа может кинуть на сервер 100 запросов за секунду. У нас стоит 5 серверов приложений в кластере. Распределение нагрузки распределит эти запросы по 5 серверам и они одновременно учтут ответ ровно пять раз. Программно можно добиться 5-ти кратного увеличение баллов практически со 100% вероятностью.
Программы не было!!! Так что перед нами ручная работа ювелира :).
Хм, а не проще ли было поставить на кнопку ограничение, на пример с помощью JavaScript и AJAX в самом начале? Так бы этот кулхацкер обломал зубы...
Проще но бесполезно. Я даже скажу так - JavaScript стоял, но его легко обойти банальным отключением в браузере, и тогда он нифига не защищает. А более профессиональный хакер без проблем напишет небольшую программку, которая засыпет сервер запросами на голосование в обход такой защиты.
JavaScript - это защита от ламеров, но не от хакеров
По поводу определение слова - это заразно. Когда все называют взломщиков хакерами, то и сам начинаешь это делать.
По поводу эксплоита - это и есть та маленькая программка, которая бомбит и о которой я говорил. Можешь назвать эту прогарммку эксплоитом.
Уязвимость действительно была, но давно и давно пофиксена, просто мы только недавно нашли этого бедного хакера, который так сильно напрягался. На сайте есть другие способы поднять себе поинты на много быстрее. Я знаю один хороший способ, который каждый день даст больше поинтов, но мы его не фиксим.
Хотите найти еще что-то интересное почитать? Можно попробовать отфильтровать заметки на блоге по категориям.
Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю
Copyright © 2024 Михаил Флёнов. Тираж 1 штука. Отпечатано на ноутбуке. А за права отвечаю, или постараюсь.
А здесь еще и копирайт поставлю: Professional Web Development.
