Сегодня речь пойдёт о взломе сайта знакомств баду (badoo) Этот сайт знакомств появился в 2006 году и сумел набрать огромную популярность среди пользователей во всем мире, сейчас сайт посещают 47 миллионов уникальных посетителей в месяц. Штаб квартира сайта знакомств расположена в Лондоне, юридически зарегистрирована на Кипре, а владелец русский бизнесмен Андрей Андреев. Сейчас баду имеет более 300 миллионов зарегистрированных пользователей.
С таким невероятным успехом которых добился ресурс, появилось масса людей которых интересует вопрос, как взломать badoo. Попробуем перечислить все способы взлома.
Взлом баду
Рассмотрим несколько методов взлома сайта знакомств баду. Вся представленная ниже информация даётся исключительно в ознакомительных целя!
Методы:
Баду позволяет посетителям загружать свои фото с последующим отображением на своём сайте. И тут открывается возможность загрузить за место фотографии специальный файл, так называемый «исполняемый файл»
При загрузке файла PHP в переменной $_FILES[‘userfile’][‘type’] возвращает mime-тип файла, для JPEG-изображения это будет image/jpeg. Может показаться, что проверка этого типа достаточна для уверенности в том, что загружено именно изображение. Также встречается идея пытаться читать файл изображения функциями getimagesize или imаgecreatefromjpeg. Однако тип файла здесь определяется на основе содержания, так что правильное JPEG-изображение, сохранённое с расширением .php, будет определено как image/jpeg. А называться будет xxxxx.php. Веб-сервер же, принимающий решение об обработчике (handler) для того или иного файла, смотрит именно на расширение. Хакер берет корректную картинку, приписывает к ней в конец (или в EXIF-данные) php-скрипт, и сервер его исполняет, страница взломана.
Взлом аккаунта badoo
Атаки SQL-инъекциями возможны против сайтов, которые не используют правильное разделение SQL-запросов и вставляемых в них данных. Пояснить суть SQL-инъекций лучше всего на примере.
Пусть у нас есть доска объявлений, на ней регистрируются пользователи, мы разрешаем пользователям через интерфейс удалять свои записи. Вот код PHP-скрипта:
mysql_query(‘DELETE FROM messages WHERE id=’.$message_id.’ AND user_id=’.$user_id);
Пояснения: переменная message_id приходит от ссылки «Удалить» ($_REQUEST[‘message_id’]), в ней содержится идентификатор удаляемой записи (целое число); переменная user_id хранится в сессии, мы записываем в неё идентификатор пользователя при его успешной авторизации на сайте.
Теперь предположим, что хакер подделал адрес ссылки для удаления и вместо «?message_id=15» отправил нам «?message_id=15 OR 1=1». После подстановки этого значения в запрос он станет таким:
DELETE FROM messages WHERE id=15 OR 1=1 AND user_id=3
Мы видим, что данные стали выражением, в выражение попало логическое «или» (OR), в результате чего хакер «выключает» проверку user_id и может удалять чужие записи. В качестве разминки могу предложить придумать такой запрос, которым хакер удалит с нашей доски объявлений все записи разом.
Как взломать анкету на сайте знакомств badoo
XSS (Cross Site Scripting, «межсайтовый скриптинг», названный XSS, чтобы не было путаницы с CSS, таблицами стилей) представляет собой атаку, при которой злоумышленник публикует на атакуемом сайте скрипт (к примеру, на языке JavaScript), который исполняется у пользователей сайта при открытии ими страниц. Поскольку этот скрипт выполняется в браузере у пользователя, то он имеет доступ к информации в его cookie, а также может производить на сайте действия от имени пользователя (если тот «залогинен»), к примеру, читать, писать и удалять сообщения.
Очевидно, что в основном XSS угрожает сайтам, на которых регистрируются и оставляют информацию его пользователи (форумы, блоги, сайты знакомств), но опасность может угрожать и администраторским интерфейсам, если в них есть модули, предназначенные для просмотра данных, поступающих от посетителей сайта. Это могут быть сообщения из форм обратной связи, заказа или отзывов. Это может быть и статистическая информация об адресах, откуда к нам приходили посетители (поле HTTP-запроса «Referer»), и какими браузерами они при этом пользовались (поле «User-Agent»).
Заказать взлом баду (badoo) у хакера
Ну и наконец последний в списке, но самый простой и быстрый, это заказать взлом badoo у хакера.
Как заказать взлом badoo
- Свяжитесь с нами, напишите на почту или заполните форму обратной связи.
- В тексте обращения укажите «взлом баду».
- Мы свяжемся с вами в течении пяти минут и подробно проконсультируем касательно всех аспектов заказа.
- После согласования всех условий, мы немедленно приступим к работе.
- Вы получите свой заказ в кратчайшие сроки в полном объёме.
При заказе взлома баду вы получите
- Логин и пароль
- Архив удалённых сообщений за 6 месяцев (более длительный сроки обговариваются отдельно)
- Блокировку уведомлений пользователю о стороннем доступе
- Подробный инструкции по безопасной работе
- Пользователь не узнает о взломе
- Гарантия на работу 3 недели (если пользователь сменит пароль, бесплатно восстановим доступ)
Какая информация понадобится для взлома баду ?
Для взлома понадобится только ссылка на страницу пользователя.
Как долго продлится взлом баду ?
Среднее время работы над заказом до 2 дней, все зависит от загруженности наших хакеров. Если ждать нет возможности, вы можете оформить срочный заказ, время работы над аккаунтом до 6 часов.
Сколько стоит взлом баду ?
У нас самые лучшие цены! Мы следим за стоимостью и предлагаем самые привлекательные расценки. Стоимость меняется, для уточнения актуальной стоимости, напишите нам.