- Осторожно, тролль!
RedZNull
Интересующийся
Скрою под хайд
[HIDE="15"]
Атакуем интернет магазины
1. Находим уязвимые интернет магазины. Нам нужен магазин с дыркой SQL-Injection. Эта такая хуета, которая позволяет читать данные из базы сайта. И мы или получаем доступ в админку (узнав логин пароль админа, менеджера) или можем читать данные о заказах.
Самые жирные это конечно интернет магазины с высокой посещаемостью, но в них потребуется искать дырки только в ручном режиме, а без опыта скорее всего вам вряд ли это удастся.
Поэтому будем просто тупо искать бажные магазины.
В гугле пишем че нить типа
You have an error in your SQL syntax site:.ru "корзина"
или
You have an error in your SQL syntax site:.ru "интернет магазин"
или
You have an error in your SQL syntax site:.ru "Авторизация"
Вы получите список бажных интернет магазинов. Вероятно на многих дырки уже будут прикрыты. Немного поискать и вы найдете нужный магазин.
Найденную дырку надо загнать в прогу sqlmap - детально уже расскажу при обращении в личку, кто будет работать по теме.
В итоге, вы или получите доступ в админку или сможете читать заказы.
Шаг второй. Делаем заказ в интернет магазине на ваши левые данные и левый ящик. Нам нужно узнать какое письмо присылает магазин. Из этого письма нам нужно взять только тему и наименование отправителя. Например,
Отправитель: <[email protected]> Интернет магазин у Дивана
Тема: Вы сделали заказ в нашем епучем интернет магазине.
Шаг третий. Регистриуем ящик на яндекс. В настройках указываем Отправителя точно также как и в оригинальном письме
Шаг четвертый. Получаем список заказов, с левого ящика, зарегистрированного на третьем шаге, клиенту пишем письмо. Тут уже нужны навыки СИ. Придумайте свой вариант. Типа, вот здец, проблемы с заказами, вы не могли бы подтвердить доставку и каким способом оплаты вы хотели ли бы оплатить.
Если клиент клюнет, а он точно клюнет, если заказ для него важен или заказ на крупную сумму, то напишет вам ответ.
И здесь вы пишите. Да, да, да, спасибо за ответ. А вот у нас такая то акция или мы тестируем новый способ оплаты и предлагаем вам скидку на ваш заказ.
Скидки в размере 10-15% будет достаточно, чтобы не вызвать подозрений. Предлагаем оплатить напрямую на вашу карту (левая киви на виртуальном номере).
Для успеха вам потребуется знать стоимость заказа (берем из базы), ФИО клиента (берем из базы).
Если человек пишет вам в ответ на ваше первое письмо, то в 90% случаев он гарантированно оплатит на вашу карту.
Кто же пля откажется от скидки в 10-15%, если стоимость заказа например 30 тыс. рублей? Да даже если заказ 10000, то скидка в 15% достаточно существенная.
Ни у кого никогда не возникнет подозрений, что письмо пришло не от интернет магазина. Вы сами про себя подумайте - будете вы проверять отправителя, если по виду письму как реальное от магазина и вы вот только что сделали заказ? Да никогда в жизни, если только не прошаренный чувак. А если магазин для бабс, то вообще праздник.
В схеме есть минус. Два три словленных клиентов и начинается паника. Во первых интернет магазин начинает предупреждать клиентов, во вторых интернет магазин пытается найти дырку. Поэтому больше 3-5 заказов с магазина перехватить нереально.
Но если поступить грамотно и не терять связи с клиентами, то тянучку можно тянуть очень долго, обнуляя десятки клиентов интернет магазина
[/HIDE]
[HIDE="15"]
Атакуем интернет магазины
1. Находим уязвимые интернет магазины. Нам нужен магазин с дыркой SQL-Injection. Эта такая хуета, которая позволяет читать данные из базы сайта. И мы или получаем доступ в админку (узнав логин пароль админа, менеджера) или можем читать данные о заказах.
Самые жирные это конечно интернет магазины с высокой посещаемостью, но в них потребуется искать дырки только в ручном режиме, а без опыта скорее всего вам вряд ли это удастся.
Поэтому будем просто тупо искать бажные магазины.
В гугле пишем че нить типа
You have an error in your SQL syntax site:.ru "корзина"
или
You have an error in your SQL syntax site:.ru "интернет магазин"
или
You have an error in your SQL syntax site:.ru "Авторизация"
Вы получите список бажных интернет магазинов. Вероятно на многих дырки уже будут прикрыты. Немного поискать и вы найдете нужный магазин.
Найденную дырку надо загнать в прогу sqlmap - детально уже расскажу при обращении в личку, кто будет работать по теме.
В итоге, вы или получите доступ в админку или сможете читать заказы.
Шаг второй. Делаем заказ в интернет магазине на ваши левые данные и левый ящик. Нам нужно узнать какое письмо присылает магазин. Из этого письма нам нужно взять только тему и наименование отправителя. Например,
Отправитель: <[email protected]> Интернет магазин у Дивана
Тема: Вы сделали заказ в нашем епучем интернет магазине.
Шаг третий. Регистриуем ящик на яндекс. В настройках указываем Отправителя точно также как и в оригинальном письме
Шаг четвертый. Получаем список заказов, с левого ящика, зарегистрированного на третьем шаге, клиенту пишем письмо. Тут уже нужны навыки СИ. Придумайте свой вариант. Типа, вот здец, проблемы с заказами, вы не могли бы подтвердить доставку и каким способом оплаты вы хотели ли бы оплатить.
Если клиент клюнет, а он точно клюнет, если заказ для него важен или заказ на крупную сумму, то напишет вам ответ.
И здесь вы пишите. Да, да, да, спасибо за ответ. А вот у нас такая то акция или мы тестируем новый способ оплаты и предлагаем вам скидку на ваш заказ.
Скидки в размере 10-15% будет достаточно, чтобы не вызвать подозрений. Предлагаем оплатить напрямую на вашу карту (левая киви на виртуальном номере).
Для успеха вам потребуется знать стоимость заказа (берем из базы), ФИО клиента (берем из базы).
Если человек пишет вам в ответ на ваше первое письмо, то в 90% случаев он гарантированно оплатит на вашу карту.
Кто же пля откажется от скидки в 10-15%, если стоимость заказа например 30 тыс. рублей? Да даже если заказ 10000, то скидка в 15% достаточно существенная.
Ни у кого никогда не возникнет подозрений, что письмо пришло не от интернет магазина. Вы сами про себя подумайте - будете вы проверять отправителя, если по виду письму как реальное от магазина и вы вот только что сделали заказ? Да никогда в жизни, если только не прошаренный чувак. А если магазин для бабс, то вообще праздник.
В схеме есть минус. Два три словленных клиентов и начинается паника. Во первых интернет магазин начинает предупреждать клиентов, во вторых интернет магазин пытается найти дырку. Поэтому больше 3-5 заказов с магазина перехватить нереально.
Но если поступить грамотно и не терять связи с клиентами, то тянучку можно тянуть очень долго, обнуляя десятки клиентов интернет магазина
[/HIDE]
Мы их всего лишь соблюдаем
