Clever Geek Handbook

ハッカー、カダブラ、TMについて

ハッカーのトレンドをサポートし、ストーリーでハバーを希釈することにしました。 その中には、エレガントなトリック、トゥルーキャラクター、エキサイティングなストーリーはありませんが、ストーリーは絶対にリアルであり、非常に興味深いことが明らかになります。 さらに、それはすべてうまく終わりました、私の良心は私を苦しめません、そして私自身が少なくとも何かを覚えている間、それについて書くことはまだ価値があります。



この話は昨年の春に起こったもので、自動車幹部の再設計に関連しています。 突然誰かが知らない場合、これはうまく機能しなかったTMプロジェクトの1つであり、そのため、独自の開発者の注意に甘やかされません。 いずれにせよ、これはすべて重要ではなく、2009年5月15日に簡単に輸送されます。 墓地では、外観だけでなく、多くの自己規制メカニズムやその他の点でもグローバルな再設計が行われました。 人々はインターフェイスで突進し、誰が何を見つけ、誰が何を気に入ったのかを退会しました。 特に誰もそれがどうなるかを知らなかったので、熱烈な大衆は待望の再設計についてでした。



これらすべての愚かさを背景に、私はついにプロファイルに「自分自身について」何かを書くことにしました。 2行書きましたが、すべてが1行で表示されることに気付きました。 彼は何も考えずに<br />に完全に入り、それを保存しましたが、うまくいきました...考えは動揺し、他のタグを試しました-制限はありませんでした。 私はJSを試してみることにし、それを入力しましたが、驚いたことに、これも完全に機能することがわかりました!



新しいインターフェイスには、エラーメッセージを送信するためのボタンがありました。これを使用することにしました。 彼はこのように、親愛なる人々、あなたはあなたのプロファイルパーサーにファイロンを持っている、彼はあらゆる種類のjavascriptsを見逃していると説明した。 私はそれを書いて送信し、同時にハブにチェックに行きましたが、もちろんハブでは、すべてが通常フィルタリングされました。 達成感で、私はほとんど落ち着きましたが、開発者でもあった古い友人とメッセンジャーに巻き込まれました。



彼は彼に状況を説明し、笑い、そしてはい...そして今、このアイデアは2人で働き始めました。 彼は、GetにCookieを送信するJSをすぐに実現し、ログにすべての要求をダンプするサーバー上のスクリプトを描きました。 プロファイルにJSを入力し、ページを更新し、ログでPHPSESSIDをチェックアウトしました。 それからあまり面白くなくなり、昼食に行きました。 穴がすぐに覆われるという完全な確信があり、したがって、頭を甘やかすための見通しは理論のみで描かれました。 彼らがそこにエラーのためのボタンを掛けたのは何のためではありませんか? 私が思ったように、彼らは確かに迅速に反応するでしょう。



驚くべきことに、昼食後、穴は隙間を空け続け、何人かの人々は私のプロフィールに入り、セッションIDを残しました。 ブラウザーを開いて、IDを送信済みのものに変更しました。予想どおり、私は別のユーザーになりました。 嬉しかったです! 当然、他の誰かに代わって投稿を削除したり、厄介なものを書いたりすることは考えていませんでした。すべてが実験の観点からのみ興味深いものでした。 私が最初に、最後に、そして唯一したことは、彼らのプロファイルにも同じスクリプトを入力することでした。



それで、あなたはそれがどのように見えるか想像できます。 キャプチャされたプロファイルへの新しい訪問者はそれぞれ、サイトを歩き回ることができるログインのデータベースを補充しただけでなく、識別子の傍受の範囲を拡大しました。 最初の幸運は、私がAVPに代わってアクセスを得たときに起こりました-これは、開発者に近い、サイトのこのような古いタイマーです。 彼のアカウントには、数千(またはまだ数百?)の投稿と、開発者を含む個人的な通信の膨大なアーカイブがありました。 いずれにせよ、この脆弱性はそれほど無害に見えなくなりました。



しかし、運が再び落ちました-私は開発者の一人のアカウントを手に入れました! 残念ながら、ニックネームは覚えていませんが、違いは何ですか? 彼のガレージにある赤いフェラーリを明るい緑のコサックのようなものに交換し、さらに他の人にも車を追加しました:ピンクのベントレーと白いマイバッハ。 サイトには、ガレージがバギーで、奇妙な車が登場するという投稿がありました。 そして、その瞬間の私の気分は単に改善する場所がなく、数時間の間、私は世界のトップにいると感じました。 開発者からの反応の欠如だけが混乱し続けました。



ただし、TMの名誉のために、メールやパスワードを変更することは不可能だったことを認めなければなりません。 危険は純粋にアクセスレベルにありました。著者の投稿をすべて消去し、誰かに代わって面倒なことを書いて、コメントすることができました。 これが非常に取り返しのつかないことを言うわけではありませんが、それでもそれは神経のフーを台無しにすることが可能でした。



開発者の1人が次のエラーポストに特別なフォームを使用するよう丁寧に頼んだとき、私は抵抗できず、別の開発者のアクセスを使用してこのトピックを忍び込まないようにしました。 この時点で、正直に言うと、状況は私を悩ませ始めました。 「角とひづめ」ではないようです。穴は明らかに排他的ではなく、特別な形でそれらに書き込みます-そして反応はありません! 世界のリソースを獲得するために残されたのは、誰もが誰かのプロファイルにログインできるようにする無実の投稿を書くことだけでした。 本当に複雑なことは何もありません! 「自分のプロファイルに信号機がありますが、そのような不具合があるだけですか?」-そして、多くの人々がリンクに急いで行き、そこに識別子を残します!



私ができなかった主なことを書いてください。不幸な後援者の前に何人の人がいますか? 開発者に代わって、カダブラを捕まえる前に何も残っておらず、管理者がエラーメッセージに応答する代わりにワッフルを乾燥させているという投稿を書かなければなりませんでした。 もちろん、公開後数分で、定期的なメンテナンスのためにカダブラは閉じられましたが、しばらくしてから開かれ、プロファイルでのスクリプト作成は行われなくなりました。



* * *



歴史から多くの結論を引き出すことができますが、私は誰もが個人的にこれを行うことを勧めます。

この機会に、TMに敬意を表します。



ご清聴ありがとうございました!


More articles:


All Articles