Взлом вконтакте или почему нельзя использовать http

марта 10, 2013 , , 0 Comments

wireshark
Как то перед сном мне не давала покоя одна мысль. Я пытался заснуть около 3х часов, ворочался туда, сюда, но мысль была сильнее. Смысл ее был примерно такой: а что если можно угнать сессию в знаменитой социальной сети vk.com. По прошествию бессонной ночи, оказалось что вполне себе можно. Интересно?






vk.com cookie Информация в данной статье представлена только для ознакомления, любое ее использование преследуется по закону УК РФ.

Я как раз тогда изучал замечательный сниффер пакетов wireshark, который привлек меня, простотой перехвата http трафика в сети. Поснифав свой собственный траффик я убедился, что можно очень просто получить пароль какой нибудь формы авторизации в зашифрованном виде, например в MD5 хэше, который можно расшифровать специальным софтом, да что уж там иногда и в открытом виде можно получить.

Так вот, решил я поснифать трафик от себя до vk.com и что вы думаете? Значение кукиса, необходимое для авторизации передовалось в открытом виде, это позволяло лишь подменой этого значения угнать сессию. На практике это выглядит вот так, имея заснифанные значения, можно легко зайти под чужим пользователем, причем пароль у нас никто не спросит. При этом можно полноценно пользоваться всеми возможностями социалки, за исключением смены пароля и мейла, то есть там, где для смены нужен пароль, которого мы не знаем.

Сама программа wireshark мультиплатформенна, ее можно использовать на всех известных мне Операционных Системах, а на не известных скорее всего можно собрать из исходного кода, если рассматривать конкретно Windows, то wireshark даже не будет определен как вредоносное по.




Скажу сразу, повторить все вышеописанное у вас не получится, т.к. статья служит скорее для того чтобы понять как защитится, а не для того чтобы научится взламывать вконтакте. Я специально не выкладывал статью, до того пока на vk.com не ввели https. Если с домашнего компьютера вы ходите туда по этому протоколу, то будьте уверены, никто у вас так сессию не угонит. Не забудьте отметить соответствующий пункт в Общих настройках


vk https



Правда, есть одно но! Сейчас уже никого не удивишь всевозможными умными устройствами, они есть почти у каждого встречного, и все норовят быть на связи. И безусловно все любят халявный WiFi, так вот имейте ввиду, что придя в какой нибудь аэропорт или торговый комплекс и используя там бесплатную сеть вы довольно сильно рискуете, человек может преднамеренно создать фэйковую сеть и произвести MITM(Men In The Middle) фишинговую атаку(простейший пример) и таким образом угнать ваши данные! Если вас заботит конфиденциальность вашей информации - используйте только проверенные сети и места и убедитесь, что вход туда осуществляется по протоколу https.



0 коммент.: