Взлом игры Zhuki.Mail.ru(продолжение)
Авторы игры постарались снабдить всех игроков хорошей инструкцией по безопасной игре, и надо быть полным лопухом и растяпой, чтобы допустить потери своего аккаунта. Случаев таких немного, но они есть, и общее представление о том, как происходит "взлом аккаунта", будет полезным новичкам. Доступ к аккаунту можно получить, зная пароль игрока, или получив служебный код текущей игры игрока. Сколько ни предупреждают игроков, порядка 10% из них все равно заводят аккаунты с паролями типа qwerty, 12345, masha и т.п. В сети есть много программ по тупому подбору паролей, и если уж сам игрок ставит такой пароль, потерять аккаунт нетрудно.
Более изощренный способ угона доступа к вещичкам и деньгам жуковода-кража служебного кода текущей сессии игры, так называемого кукиса. Для возможной кражи его нужно, чтобы пользователь прошел по специально подготовленной ссылке, или посетил специально подготовленную страницу. Как пример: злоумышленнник может войти к тебе в доверие, похвалит твою команду, восхитится особо интересным забегом, и предложит ссылку, по которой можно посмотреть классный забег. По ссылке оказывается никакого забега нет, открывается какая-то малопонятная страница, но незаметно для тебя у злодея окажется кукис, который может на пару часов дать возможность ему войти под твоим аккаунтом. В таких подозрительных ситуациях самое разумное-выйти из проекта, нажав кнопку "Выход", можно снова войти в игру, начав новую сессию, краденные кукисы закрытой сессии уже бесполезны.
Другой популярный способ. Перейдя по "классной" ссылке новых друзей, можете оказаться на странице, под каким-нибудь предлогом требующей повторного ввода пароля, только страница это фальшивая, и введенный на ней пароль уходит воришкам.
Вы можете даже получить письмо, якобы от администрации игры с требованием выслать пароль, но поддаваться на такие, совсем тупые провокации нельзя.
Самый тяжелый, но самый мощный, конечно, способ-"добыть" логин админа. Те, кто может такое, такие статьи не читает, и в советах не нуждается, но мы попробуем разобраться, как это может выглядеть.
Во-первых, можно попробовать некоторые из способов, применяемых к обычным игрокам: найдя уязвимость, слать письма админам со специально подготовленными ссылками на "требующие разрешения вопросы". Типа, "админ, у тебя бага, в этом забеге кристалл не сработал". Письма "с блохами", так называется, из разряда таких действий-использовать письмо с трояном, но это уже из разряда криминала.
Для начала своей хакерской деятельности стоит попробовать определить версию форума на сайте жуков: уязвимости популярных бесплатных форумов часто публикуются на специализированных сайтах, иногда такие уязвимости открывают доступ прямиком к логину админа форума.
Теоретически можно сделать так, что кукисы всех просматривающих специально подготовленную страницу могут отсылаться взломщику. Представляете-злодей создает интересную тему на форуме, и получает доступ к аккаунтам всех игроков, включая админов. Заманчиво? Подробнее-материалы в Сети на тему "активные XSS", их очень много. Такие возможности теоретически могут быть на любой странице сайта, где есть посетителю возможность поместить свой текст или свою картинку.
И необязательно использовать уязвимость именно на странице сайта жуков, Жуки-лишь часть большого портала, пароль и кукисы, украденные, например, на разделе фотографий портала, откроют доступ и к жукам. Как это может выглядеть? Жертве приходит письмо со ссылкой на интересные фотографии, а главная цель посещения этой страницы-увод кукисов.
Портал большой, где-то наверняка можно сделать хитрую страницу. Например, стоит исследовать новый сервис-Ответы, где задают вопросы, и отвечают на них. Можно поискать уязвимость на этом свежем сервисе, задать интересный вопрос, связанный с Жуками, и собирать улов.
Есть сервис рассылок, можно сделать реально полезную почтовую рассылку про повышение мастерства игры, внедрить на страницы рассылок зловредный код.
Администратор и модераторы управляют игрой через так называмую "админку"-специальные страницы, доступные только узкому кругу лиц. Часто программисты, создающие админку, чихают на безопасность админки, оставляют грубые дыры, полагаясь на соображение типа "чужие здесь не ходят", не будут же админы друг у друга кукисы воровать. А между тем специально подобранные параметры игрока могут взорвать админку, создать атаку с той стороны, где ее не ждут.
Большая часть всего, что здесь описано-нереализуемо. Поискать дыры есть резон, если мама с детства хвалила тебя за терепеливость, но, очень даже может быть, их и нет вовсе, все они залатаны и заштопаны.
Воровать пароль админов? Админы не дураки, чтобы давить на все подряд ссылки.
Ну можно подобрать пароль petya какого нибудь лопуха, но ведь все его украденные тапочки и кепочки админы, разобравшись, вернут, а вот хватит ли у админов или жертвы разбоя терпения и не дать делу ход-еще вопрос. Стоит ли игра свеч?
Что должен уяснить простой игрок-не поддаваться паранойе, не паниковать, стоит лишь выполнять нехитрые и простые правила и играть спокойно.
Информация-всего лишь информация, дается вам для ознакомления, как вы ей воспользуетесь-зависит целиком от вас, и последствия от ее использования могут оказаться и не такими, как вы ожидаете.
<-назад
Взлом аккаунта игрока
Взлом записи админа
Больше фантазии
Напоследок
