--- title: "Вы хотели взлома?" description: "Ну так что будем ломать? Нет, я серьезно! Давайте реально что-нибудь хакнем! Объектом взлома будет с..." author: "Veterius" published: "2010-06-20T14:38:05+00:00" modified: "2010-06-20T14:38:05+00:00" locale: "ru" canonical_url: "https://yvision.kz/post/vy-hoteli-vzloma-53328" markdown_url: "https://yvision.kz/post/vy-hoteli-vzloma-53328/markdown" site_name: "Yvision.kz" --- # Вы хотели взлома? > Ну так что будем ломать? Нет, я серьезно! Давайте реально что-нибудь хакнем! Объектом взлома будет с... Ну так что будем ломать? Нет, я серьезно! Давайте реально что-нибудь хакнем! Объектом взлома будет сайт В Контакте. Это Вам не html учить ([!\[Вы хотели взлома?\](http://yvision.kz/images/userpic_small.jpg) pa3riot](http://pa3riot.yvision.kz/) , привет)! Матчасть будет предоставляться по ходу дела при необходимости. Я имею в наличии: компьютер, Charles(перехватчик пакетов данных), Mozilla Firefox(мой любимый браузер), немного смекалки и главный девайс - руки, пропатченые до версии "прямые". ![Отельный магнат](http://storage.yvision.kz/images/user/veterius/TO2qV80CO6NvrSPY29Rfcw0hoHWL2M.png) Конечно-конечно сам сайт В Контакте взламывать никто не собирался! Я попробывал найти уязвимость в приложении "[Отельный магнат](http://vkontakte.ru/app1871125)". Открываю, запускаю, нанимаю персонал, обслуживаю клиентов, запускаю Charles! Главная отличительная черта этого приложения кроется в том, что оно не сохраняет прогресс по мере поступления, а делает это лишь при нажатии на дискетку(кнопку "сохраниться и закончить игру"). Что это значит? Примерно следующее: я играю целый день, сохраняемся и информация о том, как я играл отправляется(нет, не на сервер В Контакте) на сервер приложения(практически у каждого приложения в этой соц сети должен быть свой сервер). Если "подделать этот [запрос](http://ru.wikipedia.org/wiki/HTTP#POST)", то можно наврать о том как проходила игра. Убедилися в том, что запись в Charles идет ![Вы хотели взлома?](http://storage.yvision.kz/images/user/veterius/aHs3pieDmOYTN7zSz5D7FXp1sEdnX3.png) В приложении нажимаю на дискетку ![Вы хотели взлома?](http://storage.yvision.kz/images/user/veterius/WgDQJWoS6mu7OxQrokdaU27YR65u5s.png) Вижу в перехватчике запросов следующее: ![Вы хотели взлома?](http://storage.yvision.kz/images/user/veterius/p4ug3kNrn67p7qQSi4BYv8ew8oHC92.png) Это как раз и есть отправка информации о процессе игры и том кто играл Теперь повторяю запрос ![Вы хотели взлома?](http://storage.yvision.kz/images/user/veterius/ii8twIB2DoFiQIK49317HpE4lhbAzu.png) выставляю 1000 отправлений в 10 потоков(галочку оставляю, благодаря ей эти запросы откроются в новой вкладке, так наблюдать на порядок удобней) ![Вы хотели взлома?](http://storage.yvision.kz/images/user/veterius/D0RABSB9cxmLBeTc5Y5YKEBl6Qzn3B.png) В Mozilla Firefox обновляю вкладку с приложением и вижу что это работает. Баг найден. Кстати Администрация приложения давно в курсе этой проблемы. **Под итожим:** В первую очередь пост направлен в сторону разработчиков. Фильтрация данных! Это очень важная часть работы какого-либо веб-приложения, будь то веб-сайт, онлайн игра или же клиент отправки сообщений. Где скачать Charles? Правильно, в Гугле:) --- Source: [https://yvision.kz/post/vy-hoteli-vzloma-53328](https://yvision.kz/post/vy-hoteli-vzloma-53328)