Наша взаимовыгодная связь https://banwar.org/
Як то перед сном мені не давала спокою одна думка. Я намагався заснути близько 3-х годин, перевертався туди, сюди, але думка була сильнішою. Сенс її був приблизно такий: а що якщо можна викрасти сесію в знаменитій соціальної мережі vk.com. По закінченню безсонної ночі, виявилося що цілком собі можна. Цікаво?
Інформація в даній статті представлена тільки для ознайомлення, будь-яке її використання переслідується за законом КК РФ.
Я як раз тоді вивчав чудовий сниффер пакетів wireshark, який залучив мене, простотою перехоплення http трафіку в мережі. Посніфав свій власний трафік я переконався, що можна дуже просто отримати пароль який-небудь форми авторизації в зашифрованому вигляді, наприклад в MD5 хеше, який можна розшифрувати спеціальним софтом, та що вже там іноді і в відкритому вигляді можна отримати.
Так ось, вирішив я посніфать трафік від себе до vk.com і що ви думаєте? Значення кукис, необхідне для авторизації передовать у відкритому вигляді, це дозволяло лише підміною цього значення викрасти сесію. На практиці це виглядає ось так, маючи засніфанние значення, можна легко зайти під чужим користувачем, причому пароль у нас ніхто не запитає. При цьому можна повноцінно користуватися всіма можливостями соціалки, за винятком зміни пароля і мейла, тобто там, де для зміни потрібен пароль, якого ми не знаємо.
Сама програма wireshark мультиплатформенна, її можна використовувати на всіх відомих мені Операційних Системах, а на невідомих швидше за все можна зібрати з вихідного коду, якщо розглядати конкретно Windows, то wireshark навіть не буде визначено як шкідливе по. Скажу відразу, повторити все вищеописане у вас не вийде, тому що стаття служить скоріше для того щоб зрозуміти як захиститься, а не для того щоб навчиться зламувати вконтакте. Я спеціально не викладав статтю, до того поки на vk.com не ввели https. Якщо з домашнього комп'ютера ви ходите туди за цим протоколом, то будьте впевнені, ніхто у вас так сесію не пожене. Не забудьте поставити галочку у відповідному пункт в Загальних настройках
Правда, є одне але! Зараз вже нікого не здивуєш всілякими розумними пристроями, вони є майже у кожного зустрічного, і все норовлять бути на зв'язку. І безумовно все люблять халявний WiFi, отож майте на увазі, що прийшовши в який-небудь аеропорт або торговий комплекс і використовуючи там безкоштовну мережу ви досить сильно ризикуєте, людина може навмисно створити фейковую мережу і провести MITM (Men In The Middle) фішингову атаку ( найпростіший приклад ) І таким чином викрасти ваші дані! Якщо вас турбує конфіденційність вашої інформації - використовуйте тільки перевірені мережі і місця і переконайтеся, що вхід туди здійснюється по протоколу https.
Com і що ви думаєте?