ololo security fail или устраиваем дефейс Вконтакте

http://it.icmp.ru/postimages/1098/6656/thumb/66860.jpg

Слухи, слухи, слухи. Настал час написать виновнику торжества пару строк.
Три вопроса: «кто?» ,«как?» и «почему?».
На один я отвечу.
Такая структура как Вконтакте вкладывает огромные средства на обеспечение безопасности и думать, что её можно взломать найдя какую-то лазейку в коде может только безнадежный оптимист. Единственный способ взлома- проникнуть в администрацию и получить права. Именно этим я и занялся.

Осенью 2009 года был назначен модератором, завел друзей среди себе подобных, чуть позже был слит с модеров, обитал среди них в разных подобиях- фейков у меня было предостаточно (назначали те же друзья-модераторы), некоторые фейки слили, но некоторые укоренились в системе. Так я получал нужную мне информацию.

Идея пришла мне в марте месяце и я начал действовать. Список переводчиков у меня был и путем утомительного тонкого троллинга получил права лэнгпакера. Хотел устроить веселье на первое апреля, но накануне у меня пропала заветная кнопочка… Потом, как оказалось, ВК устроил свое веселье с дореволюционным языком.

Время шло, были другие интересы, но в один прекрасный день эта самая идея вернулась ко мне. И я опять начал тонко троллить. Завязалась дружеская переписка в асе с одним лэнгпакером и в результате этого мой основной профиль получил заветную кнопочку.

Порой приходилось судорожно проверять наличие прав переводчика.

Вот и настал день ИКС. Я проснулся, достал с-под дивана нэтбук и расплылся в довольной улыбке- кнопка была на месте. Переустановил для надежности огнелис и прикрутил на него iMacros. Назначил двух фейков. На первом фейке я открыл вкладку Global лэнгпака, нашел строчки с боковым меню и нажал в макросе кнопку «запись». Всё, готов. Стационарник тихо шумел, я откинулся на кресле и думал зачем мне это надо.

Хотел начать в 20:10, чтобы красиво было, но задержался и начал чуть позже. Лениво кликая мышкой я подменил всё боковое меню… Ну почти всё («Бажання» — это новый пункт и мне было лень его искать). После нажатия «Застосувати змiни» веселье началось. Остановил и сохранил макрос.

Паника, горы писем на почту и ужас в техподдержке ВК. В это время возростает колличество запросов в гугле. Когда администрация все-таки взялась исправлять это я запустил макрос. Он работал пока фейка не удалили. Со второго фейка поздравил страну с праздником и сам всё назад исправил.

http://it.icmp.ru/postimages/1098/6656/thumb/989131.png

Потом умер и второй фейк.

Я мог бы потратить на 5 минут больше и изменить весь украинский интерфейс до последней буквы, но это шутка, а не разгром.

Интерфейс переводчика.

http://it.icmp.ru/postimages/1098/6656/thumb/804621.jpg

http://it.icmp.ru/postimages/1098/6656/thumb/360020.jpg

Так выглядит то самое боковое меню в лэнгпаке.

http://it.icmp.ru/postimages/1098/6656/thumb/496842.png

Вот что пишут в группе модераторов.

http://it.icmp.ru/postimages/1098/6656/thumb/462399.jpg

Лукьяненко Рома
  • 26 августа 2010, 11:40
  • Chett
  • просмотров: ~1761
  • рейтинг: ?

Комментарии (2)

Вы - anonymous, войти ?

можно использовать bbcode-теги
[b]жирный текст[/b]
[i]курсив[/i]
[u]underline[/u]
[s]зачеркнутый текст[/s]
[size=20px]размер шрифта[/size]
всякие изменения текста
[left][/left]
[right][/right]
[center][/center]
позиционирование элементов: картинки, текст и т.д
[url][/url]
[email][/email]
внутри тега [url] помещайте ссылки, а внутри [email] адрес электронной почты;
так же [url] можно использовать в виде:
[url=http://example.com]пример[/url],
[url=http://test.ru][img]http://flickr.com/givemeimg.png[/img][/url]
[code][/code]
[quote][/quote]
внутри тега [code] можно помещать программный код (подстветка попытается включиться автоматически); для выделения цитат используйте [quote]
также можно напрямую указать язык [code=cpp]int i;[/code]
[list][/list]
создаем списки, каждый элемент пишется после [*].

Можно указывать маркер - [list=marker].
возможные маркеры 1(decimal), i(lower-roman), I(upper-roman), a(lower-alpha), A(upper-alpha). Примеры:

[list][*]1 элемент[*]2 элемент[*]3 элемент[/list]
[list=1][*]1 элемент[*]2 элемент[*]3 элемент[/list]
[list=A][*]1 элемент[*]2 элемент[*]3 элемент[/list]
[table][/table]
оформляем таблицу, используя внутренние теги [tr] и [td].
[tr] - строка, [td] - поле в строке,
[table=100%] - можно задавать ширину в процентах, по-умолчанию ширина 100%
[td=2] - можно задавать сколько столбцов входит в это поле. Пример:

[table=50%][tr][td]столбец 1[/td][td]столбец 2[/td][/tr][tr][td]значение 1[/td][td]значение 2[/td][/tr][tr][td=2]сразу 2 столбца[/td][/tr][/table]
[img][/img]
тег для вставки фото или картинок, мы любим картинки. Примеры использования:

[img]http://ya.ru/logo.png[/img],
[img=100x100px]http://ya.ru/logo.png[/img]
[img=fullimg.url]thumbimg.url[/img],
Пожалуйста загружайте картинки на наш сайт, либо вставляйте с бекбоновских ресурсов.
[video][/video]
Проигрывает видео, внутрь вставляем ссылки на видео, поддерживается Play.Ykt.Ru(нужно вставить ссылку на страницу с видео) и tv.ykt.ru(нужно вставить ссылку на адрес файла)