csrf-атака и заливка шела

Это видео нельзя назвать чьей-то авторской работой, трудились над ним мы вместе с
Satana-fu (к сожалению ,по семейным обстоятельствам, он конечный результат увидет нескоро-
и надеюсь ему это будет приятным сюрпризом ) и morty10 (это действительно профессионал своего дела)

Для начала посмотрим что об этом нам говорит Википедия:

Идея снять видео появилась спонтанно, просто понаблюдав за темами ачата,
я ни разу не видел описание данной уязвимости, хотя и пользовались мы (те кто с этим знаком ) ими часто.
Многие считают данный вид уязвимости несерьезным (к этому типу можно отнести например разлогивание юзера и т д),
но как говорится : "в умелых руках и ...- баллалайка", и данный вид атаки уже давно "стоит на вооружении" многих
продвинутых юзеров (просторы здесь открываются грандиозные от накрутки голосования и кражи голосов вашего любимого
вконтакта- до взлома сайта и заливки шелла ), последнее и решили вам продемонстрировать.Этой уязвимости подверженны
большинство сайтов, и для взлома определенного сайта нам надо всего лишь скачать себе его двиг
(это если будем подделывать админские запросы), изучить его и посмотреть запросы которые отправляются на сервак

В нашем видео мы специально не касались темы скулей либо xss, хотя все эти уязвимости и присутствуют там и этот сайт можно
было-бы взломать в "два клика мыши", так-же специально не делали связку XSS+CSRF(хотя зрелищность бы повысилась)
решили показать csrf-атаку без примесей (невсегда удается найти ту-же скуль или ксску в известных движках),
мы просто незаметно заставим админа поднять нам права до своего уровня (сделать из нас нового админа) и под новым админом
зальем шелл на сайт, ну а впрочем, зачем я вам это рассказываю? Смотрите сами



http://vimeo.com/13696467




http://www.youtube.com/watch?v=A_Mk3p0sVaM

C уважением
Kusto , morty10 и Satana-fu

P.S. Ждем администрацию взломанного сайта у нас в рубрике-"проверка на уязвимости", где им будет оказанна квалифицированная помощь и данны рекомендации по устранению найденных багов.

 

да, хороший способ.
немного модификации, и можно было-бы провернуть все еще проще.

 

смотрел еще вчера=)
просто шик видос

 

Хорошее видео, авторам - уважение. Зрелище достойно античата :-*

 

Видео понравилось. Легко смотрится.

P.s только шелл можно было удалить, нажав на "Self remove"

 

Хороший видос. Только извечная проблема, как впарить ссылку, чтобы по ней перешли. А так гуд.

 

отличное видео. соц-инжинеры в своём репертуаре: "на этом ресурсе выложили личные данные"
ачат -жив.

 

я-же говорю, немного модификации, и можно вообще без линка использовать фишку.

 

Можно было 2.php сделать в виде картинки и сунуть в комментарий. Дальше кинуть линк админу, мол тут что-то плохое написали. На свой ресурс они бы точно перешли

P.s хотя не уверен, что вышло бы

 

Красиво) смотрел как фильм.. захватывает..

 

ребят ссылку впаривать необязательно , достаточно использовать КССку (слава богу их там в каждом поле- и все активные, но повторюсь)

 

лишь-бы руки... ну ты понел.

 

Ммм очень гуд видос, очень понравился! Молодцы!

 

Музыка на видео: Ilaria Graziano- Somewhere In The Silence
Искал для себя но решил поделиться.

 

Ilaria Graziano- from the roof top ~ somewhere in the silence (sniper's theme)

 

Парни, молодцы.

 

"удалено"
Mолодец Kusto видео оригинально на 5+

 

Классное видео и шелл мой любимый был)

 

действительно короткометражка какая-то, я бы отправил ее на Канский.
режиссер, сценарист, звукорежиссер, актеры - все достоины Теффи ))

 

Что за музыка в видео?
Возьмите за хороший тон публиковать эту информацию, пожалуйста.