Хакер по кличке/имени Gupta


9 0

Какой-то знаменитый хакер по имени Gupta смог накрутить немного денег на сайте, который я сейчас сопровождаю и купить себе немного карточек памяти. Нафига они ему нужны, я не понял, но он их набрал аж на $600. Может кто слышал о таком? Я погуглил и нашел кучу разных людей под этим именем или ником, но фиг его знает, кто это. По крайней мере у нас на работе о нем слышали.

Глюк был банален - DoubleClick. За счет двойного клика он накручивал деньги на одной из игр, за которые начисляются баллы, а потом эти баллы использовал для покупки. Чтобы народ особо не расслаблялся, баллы не позволяют полностью оплатить товар, они только дают скидку, поэтому хакеру при покупке памяти пришлось указывать кредитную карту.

Ну кредитная карта возможно и ворованная, и вся информация о хакере в аккаунте тоже скорей всего лажа. Но адрес доставки оказался Вашингтоном. Два заказа и оба по разным адресам и получателям, но в одном и том же районе. Самое интересное, что ко второму заказу парень расслабился. Почувствовал безнаказанность и стал больше проводить на сайте времени. Подозреваю, что второй раз он отправлял даже к себе домой.

Из всех багов, которые есть на сайте, он нашел самый безобидный. За то, чтобы получить $600 он каждый день дважды кликал в игру на протяжении нескольких месяцев. Вот думаем, может отправить ему поздравительную открытку за такое терпение и отвагу :). Лично я бы не смог так долго заниматся кликами ради накрутки. Баг этот уже давно закрыт, поэтому все только поржали над хакером и пошли работать дальше.


Понравилось? Кликни Лайк, чтобы я знал, какой контент более интересен читателям. Заметку пока еще никто не лайкал и ты можешь быть первым


Комментарии

23 Aпреля 2010

Молодца!
Написал бы ему что Русский Админ за тобой следит! Он бы аписался бы.


Human

23 Aпреля 2010

Он, вероятно, не вручную кликал, а написал прогу для этого дела. Так что не нужно спешить "ржать".


Михаил Фленов

23 Aпреля 2010

Если бы он написал программку, то смог бы бомбить на много больше поинтов. Это как двойной клик в голосовании. Много раз быстро кликаешь кнопку, пока страница не перегрузиться и сервер не учтет голос. Если кликать очень быстро, то можно и дважды и трижды проголосовать.

Если написать программку, которая забомбит сервер запросами, то она будет голосовать более 2 раз в день по любому. Программа может кинуть на сервер 100 запросов за секунду. У нас стоит 5 серверов приложений в кластере. Распределение нагрузки распределит эти запросы по 5 серверам и они одновременно учтут ответ ровно пять раз. Программно можно добиться 5-ти кратного увеличение баллов практически со 100% вероятностью.

Программы не было!!! Так что перед нами ручная работа ювелира :).


vasek123

14 Мая 2010

Хм, а не проще ли было поставить на кнопку ограничение, на пример с помощью JavaScript и AJAX в самом начале? Так бы этот кулхацкер обломал зубы...


Михаил Фленов

14 Мая 2010

Проще но бесполезно. Я даже скажу так - JavaScript стоял, но его легко обойти банальным отключением в браузере, и тогда он нифига не защищает. А более профессиональный хакер без проблем напишет небольшую программку, которая засыпет сервер запросами на голосование в обход такой защиты.

JavaScript - это защита от ламеров, но не от хакеров


vasek123

14 Мая 2010

Проще но бесполезно. Я даже скажу так - JavaScript стоял, но его легко обойти банальным отключением в браузере


Ну,
во первых- я говорил про кулхацкера а не хакера(между прочим, сами, давали определение слову хакер в своей книге). Ну что касается JavaScript, то, да, я признаю- упустил этот вариант.

А более профессиональный хакер без проблем напишет небольшую программку, которая засыпет сервер запросами на голосование в обход такой защиты.


Во вторых- Ну в таком случае, уж лучше эксплоит(многим известно, что, например, переполнение буффера осуществляется путем вставки дополнительного элемента массива и за счет этого выполнения определенной команды серверу(правда, это возможно, лишь при типичных ошибках программиста)).

p.s. Красть намного лучше под правами админа ;)


Михаил Фленов

14 Мая 2010

По поводу определение слова - это заразно. Когда все называют взломщиков хакерами, то и сам начинаешь это делать.

По поводу эксплоита - это и есть та маленькая программка, которая бомбит и о которой я говорил. Можешь назвать эту прогарммку эксплоитом.


vasek123

14 Мая 2010


По поводу эксплоита - это и есть та маленькая программка, которая бомбит и о которой я говорил. Можешь назвать эту прогарммку эксплоитом.


Ну то что, это программа я прекрасно знаю, и что выполняет- тоже(не зря учил безопасность сетей и языки программирования). Просто, привык вещи называть своими именами(почему, видать, сразу и не разобрался).

p.s. Значит, все таки есть уязвимости(хотя, если разобраться, где их нет- абсолютной защиты не существует)? ;)

p.s.s. Sorry за оффтоп, просто, интересуюсь безопасностью как будущий специалист по информационной безопасности(еще пока учусь).


Михаил Фленов

14 Мая 2010

Уязвимость действительно была, но давно и давно пофиксена, просто мы только недавно нашли этого бедного хакера, который так сильно напрягался. На сайте есть другие способы поднять себе поинты на много быстрее. Я знаю один хороший способ, который каждый день даст больше поинтов, но мы его не фиксим.


Добавить Комментарий

Еще что-нибудь

Хотите найти еще что-то интересное почитать? Можно попробовать отфильтровать заметки на блоге по категориям.

О блоге

Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю

Обратная связь

Без проблем вступаю в неразборчивые разговоры по e-mail. Стараюсь отвечать на письма всех читателей вне зависимости от страны проживания, вероисповедания, на русском или английском языке.

Пишите мне