Ну так что будем ломать? Нет, я серьезно! Давайте реально что-нибудь хакнем! Объектом взлома будет сайт В Контакте. Это Вам не html учить (pa3riot , привет)! Матчасть будет предоставляться по ходу дела при необходимости. Я имею в наличии: компьютер, Charles(перехватчик пакетов данных), Mozilla Firefox(мой любимый браузер), немного смекалки и главный девайс - руки, пропатченые до версии "прямые".
Конечно-конечно сам сайт В Контакте взламывать никто не собирался! Я попробывал найти уязвимость в приложении "Отельный магнат". Открываю, запускаю, нанимаю персонал, обслуживаю клиентов, запускаю Charles!
Главная отличительная черта этого приложения кроется в том, что оно не сохраняет прогресс по мере поступления, а делает это лишь при нажатии на дискетку(кнопку "сохраниться и закончить игру"). Что это значит? Примерно следующее: я играю целый день, сохраняемся и информация о том, как я играл отправляется(нет, не на сервер В Контакте) на сервер приложения(практически у каждого приложения в этой соц сети должен быть свой сервер). Если "подделать этот запрос", то можно наврать о том как проходила игра.
Убедилися в том, что запись в Charles идет
В приложении нажимаю на дискетку
Вижу в перехватчике запросов следующее:
Это как раз и есть отправка информации о процессе игры и том кто играл
Теперь повторяю запрос
выставляю 1000 отправлений в 10 потоков(галочку оставляю, благодаря ей эти запросы откроются в новой вкладке, так наблюдать на порядок удобней)
В Mozilla Firefox обновляю вкладку с приложением и вижу что это работает. Баг найден.
Кстати Администрация приложения давно в курсе этой проблемы.
Под итожим:
В первую очередь пост направлен в сторону разработчиков. Фильтрация данных! Это очень важная часть работы какого-либо веб-приложения, будь то веб-сайт, онлайн игра или же клиент отправки сообщений.
Где скачать Charles? Правильно, в Гугле:)