Najpopularniejsze metody na niekoniecznie legalne generowanie zysków w sieci. Każdy przykład omówiony zostanie zarówno z punktu widzenia developera jak i osoby atakującej.

1. Jak kraść pieniądze
w sieci?
wykład nieetyczny ;)

2. UNKNOW
Jakub Mrugalski

3. Janusz
• Ma mało pieniędzy, żonę,
trójkę dzieci, hipotekę na
głowie i nie może znaleźć
pracy
• zna się odrobinę na
programowaniu
(frontend + PHP)
• po prostu chce dorobić
• chce dorobić za wszelką
cenę…

4. j4n00.sh

5. Może zarobię trochę kasy w
programach partnerskich?
Dostaniemy pieniądze za dokonane zakupy

6. Aby zarabiać w PP, musimy
posiadać popularną stronę WWW…
Sprawmy więc, aby stała się popularna ]:>

7. Typowy spam mailowy
Minusy:
• potrzebujemy serwera do wysyłki
• szybko trafimy na czarną listę (RBL)
• a kto dziś nie ma filtrów antyspamowych?

8. Użyjmy cudzych serwerów :)
• zwrotki mailowe
• formularze kontaktowe
• dziurawe skrypty PHP
SPF + PTR + DKIM

9. Spam na blogach
• Komentarze
• Statystyki GA / serwera
• Formularz kontaktowy
• Trackbacki

10. Spam w wyszukiwarce

11. ScrapeBox
i przyjaciele

12. Strona powinna
się rozprzestrzeniać
‘wirusowo’
• automatyczny like
• automatyczny share (niczym captcha)

13. Przecież na stronie spamera
nikt nic nie kupi…
• a po co ma kupować? cookie stuffing!
• <img src="link partnerski" />
• <iframe src="link partnerski" />

14. Janusz postanowił
handlować przedmiotami w
grze online

15. Potrzebujemy przejąć sesję
i wykonać kilka operacji w grze

16. • Co to jest sesja?
• Gdzie trzymane są dane sesyjne?
• Jak zabezpieczyć sesję przed kradzieżą?
• Kradzież własnej sesji?
• Czy dane z wnętrza sesji są zaufane?

17. Janusz chciał wygrać
kasę w konkursie…

18. Do konkursu można było
wysłać własne zdjęcie!

19. Jak sprawdzić poprawność
nadesłanej fotki?
• poprawne rozszerzenie?
• dozwolony content-type?
• ma odpowiednie wymiary?
Jedyna sensowna metoda?
wygenerowanie obrazka
na nowo!

20. A co jeśli serwis nie posiada
uploadu?
to wyślij plik do wyszukiwarki ;)

21. Głosowanie na zdjęcie
/search.php?q=koty
Zabezpieczenia:
• długość $q > 3 znaki
• htmlspecialchars($q)
• mysql_real_escape_string($q)

22. Głosowanie na zdjęcie
<img src="/search.php?q=%%%%" />
sprawdzaj zakres podawanych znaków…

23. Głosowanie na zdjęcie
na-ankieta.pl/index.php?komunikat=<p>Dziekuje+za+odda
XSS

24. Głosowanie na zdjęcie
na-ankieta.pl/index.php?komunikat=<p>Dziekuje+za+odda
Nadal XSS

25. Głosowanie na zdjęcie
<p onmouseover="exploit-here">Thx!</p>

26. Głosowanie na zdjęcie
Zalecenia:
• nie przyjmujemy kodu HTML od usera
• strip_tags() + htmlspecialchars()
• używamy predefiniowanych komunikatów

27. Głosowanie na zdjęcie
/glosuj.php?foto_id=31337

28. Głosowanie na zdjęcie
<img src="/glosuj.php?foto_id=31337" />
XSRF
Zmiany programisty:
• dodał token anty-xsrf
• zmienił metodę wysyłania danych na POST

29. Głosowanie na zdjęcie
• Na stronie intensywnie wykorzystywane były pliki SWF
• Webmaster stworzył politykę bezpieczeństwa dla Flasha
• Szkoda tylko, że taką…

30. Głosowanie na zdjęcie
System ładowania podstron nie był zbyt ambitny…

31. Głosowanie na zdjęcie
System ładowania podstron nie był zbyt ambitny…
plik.php?page=../../../../../dowolny.plik%00

32. A może przerobić
odwiedzających w botnet?
Prosta sztuczka wymuszająca instalację softu

33. Oszustwa SMS-owe
• Strona z ofertą jest weryfikowana przez pośrednika
• Wrzucanie strony do iframe + przycinanie jej
• Wymuszanie wysłania SMSa

34. Janusz się obłowił, a my
musimy kończyć…

35. UNKNOW
www: UW-TEAM.ORG
twitter: @uwteam
wykop: imlmpe
youtube: uwteamorg
e-mail: unknow@uw-team.org

36. Tak, to już jest koniec :]