четверг, 22 марта 2012 г.

Обход защиты системы голосования от vestnik.in.ua - технические моменты

0 коммент.

И так, как и было обещано в предыдущем посте, выкладываю материал, где описано как проводился аудит и обход защиты системы голосования от сайта “vestnik.in.ua”. 

А начнем мы с так всеми нелюбимой теории. Сорри, но без нее никак =)

Немного теории

Для понимания всего последующего материала, нужно немножко вникнуть в сам процесс роботы Интернета. Конечно, если вы продвинутый юзер или вам уже не терпится увидеть результатов проделанной работы, можете смело пролистать до раздела «Перейдем к практике». Но все-таки я советую прочитать все то, что изложено ниже.

И так, как же работает Интернет? Вряд-ли вы задавались этим вопросом. Все слышали слова «Всемирная паутина», «Глобальная сеть», но мало кто знает, что скрывают в себе эти загадочные фразы. Не буду вникать в подробности, а расскажу только то, что нам понадобиться в рамках этой статьи.

Вы когда-нибудь задумывались, как на вашем компьютере появляются страницы сайтов? Попробую пояснить.

Уязвимость в системе голосования от vestnik.in.ua

0 коммент.

Если вы кременчужанин и одновременно активный пользователь Интернета, то скорей всего слышали о конкурсах проводимых газетой "Вісник Кременчука". Например: Sweet girl, Ice girl и им подобные. Голосование за тех или иных участников проходит как в Интернете, так и с помощью специальных купонов, которые можно найти все в той-же газете "Вісник Кременчука". Он-лайн голосования боле популярны, так как достаточно скинуть ссылку на страницу своему другу/подруге и жалостно попросить проголосовать за нужного участника. Зачастую, участники голосования или их помощники не ограничиваются отправкой сообщений только своим знакомым, а начинают посылать сообщения всем кому можно и кому нельзя. И я был не исключением…

Время от времени мне приходили сообщения типа: «Плиииииз)))) проголосуй за участницу под №….», «Привет! Проголосуй …. буду очень благодарна!!!!!))))», «Привет) Поддержи меня, я под №##) Можно голосовать каждый день) Заранее спасибо)» и т.д. и т. п. Смотря на все эти усилия и старания, я задался вопросами: так ли надежна и справедлива эта система голосования? На сколько сложно сфальсифицировать голос? Какие знания необходимы, что бы изменить ход опроса?

Выделив один свободный вечер, я как обычно сел за свой любимый компьютер и решил провести, так сказать «аудит безопасности  системы голосования», а по-простому «проверить, насколько хорошо постарались веб-мастера сайта». Удалось ли мне обойти защиту системы и чем это все закончилось, читайте далее.