Как я взломал компании, связанные с криптовалютой, и заработал на этом $60 / Хабр

Локал биткоин zarabotat na sajte ru. «Анонимность исчезнет при столкновении с реальным миром»

Финансы в IT Биткоин и криптовалюты в целом сейчас у всех на слуху.

Осторожно, биткоин: самые популярные схемы разводок с криптовалютой

Подумал, что будет отлично посмотреть насколько безопасны сервисы, в которых я держу свои криптовалютные сбережения, торгую ими или отдаю в доверительное управление. Первая компания — example1.

Перед тем, как вкладывать туда деньги, решил проверить личный кабинет на уязвимости. Зарегистрировался, но на удивление — ничего не нашёл, везде фильтрация, csrf токены и тд. Потом зарегистрировал ещё один аккаунт, но вместо имени вписал скрипт сниффера.

Мне долго ничего не приходило, я уже было смирился с тем, что локал биткоин zarabotat na sajte ru проекта все хорошо с безопасностью, нет никаких BLIND XSS и прочих вещей, но только до момента пока мне не пришли логи исходный код, ip администратора, local storage и др JS выполнился, когда админ проверял страницу с данными о пользователе admin.

Но по обе стороны люди согласны, что сегодня можно организовать заработок на обмене биткоинов, получить криптовалюту бесплатно или за элементарные действия. Заработок на Bitcoin: стратегии По сути, Bitcoin — это просто цифровой файл, где записаны имена и балансы.

Просмотрев логи, я расстроился из-за того, что все cookies с httponly флагом и не удалось получить ни одной, в итоге, я бы не смог получить доступ к админ панели, но когда перешёл по ссылке admin. Всего можно было сигнальные графики для бинарных опционов и изменять информацию о пользователях email, телефон, ссылки на соц сети, кошелёк для вывода bitcoin, логин, баланс, реферер.

На скриншоте один из самых богатых заработгк в интернете клуба, у него большое число подписчиков и я постоянно слежу за его блогом.

  • Print На прошлой неделе я задался вопросом, сколько можно заработать, если заниматься обменом биткоинов на рубли и обратно на сайте LocalBitcoins.
  • Как заработать деньги ни на чём не
  • «Как купить биткоины в Localbitcoins?» – greenfood66.ru
  • Светлана Макина 6 августа Социальные сети настолько плотно вошли в нашу жизнь, что многие не могут обойтись без них и нескольких часов.
  • Как и где купить Биткоин? Полное пошаговое руководство

Злоумышленник без какой-либо подготовки или опыта мог легко зайти в админку и изменить email адреса всех инвесторов на свои или просто изменить кошельки для вывода, чтобы не вызвать лишних подозрений когда жертва решит вывести деньги, ибо при выводе кошелек по каким-то причинам не отображался.

Очень странно, что в админке не указаны пароли в открытом виде, — у меня такое чувство, что разработчики этого ДУ способны на всё что угодно в плане ухудшения безопасности своего сервиса.

Месяцем позже, когда я нашёл похожую blind xss у них в сервисе и получил за неё ещё баунти, стало известно, что разработчиков ДУ уволили и деньги за их работу на то время вроде бы не выплатилиразработкой стали заниматься другие люди.

Немного позже, после первой рекомендации, пришла вторая example2. Тщательно всё проверив — ничего не обнаружил даже любимый clickjacking :кроме двух CSRF уязвимостей в post запросах.

Как заработать на обмене биткоинов: суть, пошаговая инструкция и предостережения

Первая позволяла изменить реквизиты для вывода средств: пользователю было достаточно перейти по ссылке на CSRF эксплойт. Вторая позволяла вывести деньги пользователя на уже измененные реквизиты. Таким образом, если юзер просто перейдет по ссылке, то лишится всех своих денег. Как можно было осуществить атаку? Злоумышленник мог бы нанять специалиста по социальной инженерии, проспамить участников их чата в telegram и получить хороший профит.

Сразу после обнаружения я написал разработчикам сайта, также попросил знакомых из клуба написать владельцу.

Новичку о Биткойне

Мне ответили, что, якобы, из-за того, что юзеру нужно перейти по ссылке — уязвимость абсолютно не опасная. Выглядело забавно. После этого я написал ещё пару писем с доказательствами о том, что баг все-таки стоит внимания и его надо фиксить незамедлительно, но, увы, меня проигнорировали.

Чуть позже случились вполне предсказуемые вещи для проектов такого рода — реквизиты пользователей начали массово менять, узнал я об этом от их разработчика, который отписал мне буквально пару дней назад как я понял из его слов — юзеры сами делали вывод, и средства начали пропадать. Страшно представить потери в том случае, если бы хакеры задействовали уязвимость в выводе средств. После этого я решил заняться поиском уязвимостей на криптовалютных биржах.

Проще говоря, Биткоин — это цифровая валюта, которую вы можете использовать для покупки и продажи вещей. Это очень отличается от физических денег, так как это полностью цифровой аналог, но только. Нет правительства или банка, который бы хранил или создавал Биткоин.

Poloniex я решил не трогать, — они не платят за уязвимости, да и капитала я там не держу. Пришлось пол месяца ждать разблокировки, после этого случая вывел оттуда все свои деньги. Хорошо, что просто не забрали их себе, как делали со многими клиентами. Решил начать с livecoin.

локал биткоин zarabotat na sajte ru

Биржа оказалась хорошо защищена, обнаружил только low-импакт SELF XSS уязвимость она так и осталась self, clickjacking на сайте и csrf в post запросе. PoC видео Затем принял решение перейти к okex. Эта биржа очень популярна не только в Китае, но и во всем мире. Некоторый фукнционал не полностью переведен на английский, он на китайском языке, но это не стало проблемой, расширение google переводчик помогло мне быстро выделять текст и переводить его, не уходя из страницы.

Как и во локал биткоин zarabotat na sajte ru остальных случаях — я тщательно проверил безопасность, в том числе поддомены и директории. Это значит, что если я найду уязвимость на одном их сайте, то остальные тоже будут ей подвержены.

Позже заглянул в службу поддержки пользователей немного пофантазировал о том, как я заливаю shell в тикет и он выполняется и обнаружил множество уязвимостей, расскажу о них ниже: 1. Уязвимость iDOR www.

В тикете раскрывается полный номер телефона, email, настоящее имя, текст переписки между юзером и поддержкой и полный путь к прикреплённому вложению. Как выяснилось позднее, многие пользователи проходят процедуру верификации в службе поддержки для того, чтобы увеличить свой лимит на вывод.

Осторожно, биткоин: самые популярные схемы разводок с криптовалютой - РИА Новости,

Необходимо прикрепить селфи вместе с паспортом, или же просто фотографию паспорта. Вот немного таких фотографий Данные скрыты Кроме локал биткоин zarabotat na sajte ru, раскрывается также множество фотографий и скриншотов с экранов устройств. Я приступил к скачиванию всех тикетов использовал как доказательство критичности данной проблемы.

Обнаружил, что никакая информация не загрузилась. Решил вернуться обратно к поддержке и еще по-перехватывать запросов, в тот момент обнаружил, что подгрузка на страницу производится через get www. Кинул этот запрос в интрудер и скачал все тикеты, — теперь их можно было свободно отправлять разработчикам бирж.

Stored XSS в api. Если скомбинировать 1 и 2 уязвимости, то можно было успешно украсть много денег.

Социальные сети на блокчейне: как заработать на публикациях

Атака должна была протекать по такому сценарию: 1 Парсим все email адреса. Некоторые умельцы дошли до того, что сразу после ввода логина и пароля на poloniex. COmрегистрацией обменника на другом домене например poloniex. Пользователи должны локал биткоин zarabotat na sajte ru в письмо и перейти по ссылке, так как она ведёт не на сторонний сайт, а на биржу. PoC этой XSS в видео 3. Stored XSS в html файле, который прикреплялся к тикету, но на домене bafangpublic.

Домен уже не доступен заработок в интернет опционах whois говорит, что он принадлежит Hangzhou Alibaba Advertising Co. Disclosure information. Я заметил, что разработчики бирж хотят максимально скрыть номер телефона пользователя при взломе аккаунта. Насколько я понял, — у всех бирж один владелец и нет смысла писать всем отдельно, поэтому отправил репорт в чат и на email биржи okex.

Очень быстро получил сообщение от официального аккаунта okex в твиттер, и уязвимости оперативно устранили. Дальше начал тестировать example3. Обнаружил XSS в кошельке, а именно — в отделе партнерской программы, — получилось поднять её из self в хранимую с помощью csrf эксплойта, можно было воровать cookies, так как отсутствовал флаг httponly.

Я мог бы сейчас прикрепить видео, которое уже записал, но, увы локал биткоин zarabotat na sajte ru там раскрывается название биржи. Я тщательно проверил репорт и нашёл в исходном коде логин и пароль администратора Но когда зашёл на страницу авторизации, то. В админ панель через логин; пароль мы попасть не можем, необходимо взломать учетную запись google и получить доступ к authenticator, или сделать редирект на фишинговый сайт прямо из админки, украсть его код и быстро его ввести.

Второй вариант вполне реализуем. Суть уязвимости в том, что если юзер уже создал заказ и хочет переводить свои биткоины на кошелек биржи, — мы можем отменить это действие. В лучшем случае, его заказ просто удалится из системы, в худшем — он переведет биткоины и потеряет свои деньги. Эта уязвимость в основном полезна только для бирж-конкурентов, а не для хакеров.

После того, как я локал биткоин zarabotat na sajte ru новый репорт в поддержку, со мной на связь вышел chief security officer для обсуждения уязвимостей.

В закладки Фото: Андрей Фролов Бывший главный редактор издания Apparat Андрей Бродецкий в своем Telegram-канале 22 июля обратил внимание на способы отмывания биткоинов, которыми пользуются владельцы криптовалюты для сохранения анонимности. Биткоин — условно анонимная криптовалюта, операции с которой не раскрывают имена владельцев кошельков.

Мне хотели позвонить в скайпе или по телефону, но в данный момент мои знания английского находятся на среднем уровне, поэтому решили ограничиться чатом. This is the highest amount we paid for a bug and is much higher than what we usually pay.

It is to show our appreciation to you and the way you handled the situation. Приношу свою благодарность за bounty. Они ответственно относятся к безопасности, приятно было общаться с их CTO. Всего с поиска уязвимостей на этих сайтах, занимающихся криптовалютой я получил: Доверительно управление example1. Доверительное управление example2.

Биржа livecoin.

локал биткоин zarabotat na sajte ru

Биржа okex. Биржа example3. Вывод из статьи: Всегда нанимайте высококвалифицированных программистов для своих проектов, особенно, если ваш бюджет позволяет это сделать.

локал биткоин zarabotat na sajte ru

S: Так же есть интересная информация на тему того, как я обнаружил уязвимость на gearbest.