Брут карт оплаты местного прова
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя |
Сообщение |
<< Старые топики Новые топики >> |
|
|
Брут карт оплаты местного прова - 2008-01-20 11:40:21.780000
|
|
|
anta1i0
Сообщений: 76
Оценки: 0
Присоединился: 2007-12-30 20:03:53.850000
|
У местного провайдера при проверке данных для активизации карты оплаты проверяется ещё и страница, с которой был сделан запрос. Это с целью предотвратить элементарный брут карт оплат)) Как обойти подобного рода защиту? Обходить придётся на JavaScript'e :) Этим методом у меня уже получилось подобрать несколько карт, при этом ничего не делая: На пагу с XSS'ом ставится iframe 0*0 ссылается он на твою страницу, там уже там пишем код яваскрипта, в котором рандомом генерируем 14 значное число, и отправляем скрипту на стороне прова запрос типа: http://prov.ru/aktiv.php?user=antalio&pas=pas&pin=random_kod в результате юзеры пополняют баланс, конечно при условии что юзеров очень много) Любые мысли по делу пишем тут.
|
|
|
RE: Брут карт оплаты местного прова - 2008-01-20 12:35:26.916666
|
|
|
oRb
Сообщений: 4044
Оценки: 597
Присоединился: 2007-03-28 18:45:06.630000
|
1. брутом опасно. тк норм админ, посмотрев на логи сервака, те не тока втык даст пров, а еще заставит оплатить все это + моральный ущерб 2. не очень понял про необходимост js. поясни
|
|
|
RE: Брут карт оплаты местного прова - 2008-01-20 15:13:28.273333
|
|
|
Alaget
Сообщений: 330
Оценки: 0
Присоединился: 2007-11-08 15:57:53.170000
|
Зачем ты здесь свои больные фантазии выговариваешь. Если не так то дай ссылку на сайт.
|
|
|
RE: Брут карт оплаты местного прова - 2008-01-20 15:57:18.683333
|
|
|
anta1i0
Сообщений: 76
Оценки: 0
Присоединился: 2007-12-30 20:03:53.850000
|
2 oRb : 1. Ну судя по тому что мне за это ещё ничего не было админ не нормальный :D 2. В JavaScript'e сохраняем в переменную pin rand'омовское число (14-16 значное), затем с помощью свойства href обьекта location меняем адрес текущей страницы на скрипт прова, со всеми параметрами. location.href="http://prov.ru/aktiv.php?user=antalio&pas=pas&pin="+random_kod; И затем нужно только обеспечить поток юзеров на эту страничку, чего можно добиться используя XSS, либо на своих же сайтах вывешивать :) 2 Alaget Я так понимаю это сообщение оставлено в мой адрес? Прошу помоч того, кто может и хочет это сделать, но бесмысленно флудить - зачем???
|
|
|
RE: Брут карт оплаты местного прова - 2008-01-20 17:22:04.376666
|
|
|
oRb
Сообщений: 4044
Оценки: 597
Присоединился: 2007-03-28 18:45:06.630000
|
anta1i0 тогда могу посоветовать cURL (чет в последнее время я его всем советую=). Реально лучше бота написать на пхп, чем с js парится.
|
|
|
RE: Брут карт оплаты местного прова - 2008-01-20 19:30:44.383333
|
|
|
anta1i0
Сообщений: 76
Оценки: 0
Присоединился: 2007-12-30 20:03:53.850000
|
Можно и на php. Мне главное обойти защиту того скрипта. Он проверяет с какого адреса пришол юзер, и если это не страница прова то пишит ошибку, и помечает кукой :)
|
|
|
|
|