Кроме того, в этой статье содержится гораздо больше, чем достаточно информации, чтобы дублировать эти хаки (когда они работали), и до сих пор содержит достаточно информации, чтобы подобные хаки сегодня. Если вы не понимаете, как сделать подобные хаки, рассмотреть возможность свое собственное исследование. Если вам нужна моя помощь обучения CGI и DHTML /JavaScript, я доступен в качестве независимого подрядчика и инструктором в размере $ 60 /час.
Если вы свяжитесь со мной с просьбой о помощи в краже личной информации других людей я буду пересылать электронную почту, чтобы о нарушении контактного лица соответствующих социальной сети, и рекомендовать, что они отключить свои account.This является первым в серии статей, которые предоставляют недостатки безопасности в социальной сетей. Два хаки, описанные здесь, являются кросс-Site Scripting attacks.My Friendster профиль имеет ссылку на мою страницу.
И мой домашнюю имеет встроенный IFRAME в нем, который использует GET строки назвать "Вперед эту анкету другому пользователю" функцию friendster.In Другими словами, при загрузке веб-страницы мой, ваш браузер загружает страницу, которая отправляет по электронной почте мне , через службу Friendster. Это письмо содержит: Ваш первый и фамилия, электронная почта вы использовали, чтобы подписаться на Одноклассниках, ваш Friendster ID пользователя, и ссылка, которая я могу использовать, чтобы подписаться на Одноклассниках и автоматически стать вашим другом.
Там нет записи этого где-нибудь на ваш счет Friendster; она полностью invisible.Here это код в моей домашней странице: Вот пример того, что отправляется по электронной почте: Мэтт Чисхолм направила профиль пользователя к вам от сети Matt'spersonal на Friendster.Matt 27 в Сан-Франциско, CA.If вас являетесь членом Friendster, вы можете просмотреть профиль Мэтта byclicking ниже: HTTP: //www.friendster.com/user.jsp ID = 229243If вы не являетесь членом Friendster, то вы можете присоединиться к Friendster byclicking ниже: HTTP: //WWW .friendster.com /join.
jsp? inviteuser = 229243Friendster это интернет-сообщество, объединяющее людей через networksof друзей для знакомства или делает новый friends.Once вы присоединиться Friendster, вы будете автоматически подключены к yourfriend Мэтт, и все friends.Friendster Мэтта непреднамеренно невосприимчивыми к этой атаке, однако, поскольку вы часто регистрируется в течение моментов входа в систему, и когда вы успешно оставаться в системе, на сайте или слишком медленно, или тот момент мой профиль больше не в "Личный сети ". Отверстия безопасности на Myspace, в то время как они стали лучше, гораздо глубже.
В течение долгого времени, они позволили бесплатный вход HTML во всех областях, и они все еще позволяют некоторые HTML entry.For долгое время, вы могли бы вставлять изображения в ваш профиль Myspace, который называется еще одну функцию Myspace, так что вы эффективно может привести на осмотр пользователя Ваш профиль (или что-нибудь с текстом, который вы создали), чтобы выполнить любую функцию Myspace с вашим собственным parameters.In эти пьянящие дни Myspace hackability, Джонатан и я создал несколько интересных MySpace хаки, которые он будет описывать в более позднем post.
At некоторые точки , кто-то на Myspace поумнел, и остановился, позволяющие HTTP GET запросов, и тогда они в черный список и теги, добавил JavaScript в свои страницы, чтобы предотвратить их загрузки в рамках, и по меньшей мере в одной точке, кто-то убрал хак от профиль. (Плюс по некоторым причинам они не позволяют # символов в тексте.) Myspace не полностью закрыты их дыр в безопасности, однако. Многочисленные JavaScript обработчики событий по-прежнему разрешено, и поэтому теги изображения, так что вы можете вставлять изображения 1x1, и выполнить произвольный JavaScript на изображение load.
My Javascript выбора пытается войти кто просматривает мой профиль, отправив содержание Функция launchIC, которая содержит UID зрителя, и все их печенье браузера, чтобы PHP на моем сайте, который отсылает его по электронной почте me.The я, выглядит так (вы можете увидеть мои идентификатор пользователя вниз там назначаются на MemberId, и печенье Содержание в значительной степени зависит от того, что пользователь делал): MySpace вид fromIMREQUESTCHECK = {TS "2004-02-05 00:43:03"} MYUSERINFO = М) NOMP_; R2P6% Р]>