Hacken Friendster, deel IEDITOR's note: Ik heb deze hacks geplaatst in de hoop van het publiceren van gaten in de beveiliging en het dwingen van de netwerken om ze te sluiten. Gelieve geen stuur mij email, myspace berichten of friendster berichten vraagt me om mijn vrije tijd door te brengen die u helpen om deze hack te dupliceren. Zowel Myspace en Friendster hebben hun sites genoeg aangepast zodat deze hacks niet meer werken.
Bovendien, dit artikel bevatte veel meer dan voldoende informatie om deze hacks dupliceren (als ze werkten) en bevat nog voldoende informatie om soortgelijke hacks bouwen vandaag. Als je niet begrijpt hoe soortgelijke hacks te maken, overweeg dan het doen van uw eigen onderzoek. Als u wilt dat mijn hulp leren CGI en DHTML /JavaScript, Ik ben beschikbaar als zelfstandig ondernemer en instructeur bij het tarief van $ 60 /hr.
Als u contact met mij op te vragen voor hulp bij het stelen van andermans persoonlijke informatie die ik zal uw e-mail doorsturen naar de relevante sociale netwerk misbruik contactpersoon, en aan te bevelen dat zij uw account.This deactiveren is de eerste in een reeks van artikelen die beveiligingsfouten bloot in de sociale netwerken. De twee hacks hier beschreven zijn cross-site scripting attacks.My Friendster profiel heeft een link naar mijn homepage. En mijn homepage heeft een ingebedde iframe in, waarbij een get reeks gebruikt om te bellen de functie van friendster.
In andere woorden, "Stuur dit profiel aan een andere gebruiker" door het laden van mijn website, uw browser laadt een pagina die een e-mail stuurt naar mij , via de Friendster service. Deze e-mail bevat: uw eerste en laatste naam, e-mail die u gebruikt om te melden om Friendster, Friendster uw user-id, en een link die ik kan gebruiken om te melden om Friendster en worden automatisch van uw vriend. Er is geen verslag van dit overal op uw Friendster rekening; Het is totaal invisible.
Here is de code in mijn homepage: Hier is een voorbeeld van wat wordt in de e-mail gestuurd: Matt Chisholm heeft een gebruikersprofiel van Matt'spersonal netwerk Friendster.Matt naar u is 27 in San Francisco, CA.If u zijn een Friendster lid bent, kunt u het profiel van Matt's bekijken hieronder byclicking: http:? //www.friendster.com/user.jsp id = 229243If u nog geen lid Friendster, kunt u deelnemen aan Friendster byclicking hieronder: http: //www .friendster.com /join.
jsp? inviteuser = 229243Friendster is een online community die mensen met elkaar verbindt door middel van networksof vrienden voor dating of het maken van nieuwe friends.Once u meedoen Friendster, wordt u automatisch verbonden met yourfriend Matt, en alle Matt's friends.Friendster is onbedoeld ongevoelig voor deze aanval, echter, omdat je vaak uitgelogd binnen momenten van het inloggen, en als je succesvol ingelogd blijven, de site is ofwel te langzaam of op dat moment mijn profiel is niet langer in uw "Personal Network .
"De gaten in de beveiliging op Myspace, terwijl ze beter zijn geworden, zijn veel dieper. Voor een lange tijd, ze mogen gratis HTML vermelding in alle gebieden, en ze nog steeds toelaten dat sommige HTML entry.For een lange tijd, kon je een afbeelding insluiten in uw MySpace-profiel dat een ander Myspace functie genaamd, zodat u effectief kan een gebruiker bekijken veroorzaken uw profiel (of iets met de tekst die u hebt gemaakt) is voor een Myspace functie uit te voeren met uw eigen parameters.
In deze onstuimige dagen van Myspace hackability, Jonathan en ik creëerde enkele interessante myspace hacks, die hij in een later post.At bepaald punt zal beschrijven , iemand op Myspace wised up, en stopte waardoor http GET verzoeken, en vervolgens de zwarte lijst ze het en labels, javascript toegevoegd aan hun pagina's om te voorkomen dat ze in de frames worden geladen, en op ten minste één punt, iemand verwijderde een hack van mijn profiel. (Plus om wat voor reden ze niet # tekens in de tekst staan.) Myspace is niet volledig afgesloten van hun gaten in de beveiliging, echter.
De talrijke javascript event handlers zijn nog steeds toegestaan, en zo zijn image-tags, zodat u kunt beeld 1x1 insluiten, en voeren willekeurige javascript op de afbeelding load.My javascript keuze pogingen om die te melden is het bekijken van mijn profiel, door het sturen van de inhoud van de launchIC functie, die UID de kijker bevat, en al hun browser cookies, om PHP op mijn site waarop het mails naar me.
The e-mail krijg ik blikken als dit (kun je mijn userid daar beneden te zien wordt toegewezen aan MemberID, en de cookie inhoud is sterk afhankelijk van wat de gebruiker heeft gedaan): myspace view fromIMREQUESTCHECK = {ts '2004-02-05 00:43:03'} MYUSERINFO = M) NOMP_; R2P6% P]>