Как взломать сайт Алиэкспресс

Aliexpress — это один из крупнейших интернет-магазинов, продающих товары в розницу и мелким оптом. 11 марта они начали акцию «Фестиваль шопинга», играя в мини игры вы набираете «фестивальные монеты», а затем обмениваете их на скидочные купоны. Но китайцы оставили некоторые возможности сильно облегчающие майнинг монет…

Какие игры нам предлагают и в чём их уязвимости?

Discount Defender

• В русской локализации названии игры разнится «Турнир за монеты»/«Дозор скидок»
• После «старта» приложение было недоступно пользователям несколько дней, хотя и была предоставлена «компенсация»
• В день даётся только три попытки через веб версию и три попытки через мобильное приложение

Как и все остальные игры Discount Defender сделан на JS. Хоть это и в тренде, но пользователи слабых устройств испытывают проблемы с производительностью. Помните про «три попытки через мобильное приложение»? Мобильное приложение это несколько кастомизированое WebView с мобильной версией сайта поэтому, мобильная версия игры так же реализована на JS.

Как быстро взломать страницу. Самый лёгкий способ

В компьютерной версии вы должны курсором мыши разрезать шары, в мобильной версии ваш «курсор» оставляет шлейф, который так же является активной зоной. Только, если антибонусы об шлейф активируются всегда, то бонусы через раз. Не смотря на то, что моё устройство далеко не бюджетное сама игра нередко зависает, а сам шлейф отрисовывается с немалой задержкой. Но как же получить нечестные очки через это приложение? Количество очков передаётся на сервер в открытом виде.

Способ взлома

1. Перехватываем запрос с помощью Charles или любой другой подобной программы.
2. Подменяем переменную score в запросе.

Способы защиты

1. Кодирование score и не передавать его в открытом виде
2. Использовать проверку на максимальное возможное количество очков за раунд

Clash for Coins

• Название игры на русском «Дозор скидок» (Ничего не напоминает?)
• Стоимость раунда 50 монет
• В случае победы вы получаете 100 монет
• Кривой перевод, который гласит, что вы теряете 50 монет в случае проигрыша

Игра примитивнейший файтинг: нажимаешь на левую кнопку мыши/пробел и твой персонаж бьёт быстрее. Кажется, что может быть проще в хакинге? Примитивнейший автокликер с частотой в 1м/c должен легко побеждать компьютерного противника… Но на самом деле «честная» игра идёт лишь до нного количества монет у вас (для меня это 2000) или двух побед подряд, как бы быстро вы ни кликали, вы будете проигрывать. Сценарии игры заскриптованы и раунд всегда заканчивается с одинаковым количеством здоровья для вас или компьютерного противника.

Что могли сделать китайцы?

1. Ввести хоть немного случайности для количества оставшегося здоровья, чтобы игра выглядела более правдоподобно
2. Ввести уровни сложности и изменение награды в зависимости от него

Способ взлома

1. Автокликер + макрос с ручным контролем по достижению N очков

Способ защиты

1. Проверка на минимальную скорость кликов, чтобы исключить автокликеры

Fortune Monster

• В русской локализации название игры «Колесо Фортуны»
• Стоимость раунда 10 монет, даётся 3 попытки на нескольких разных страницах

Главной проблемой игры можно назвать её длительность. Примерно минуту вы ждёте, чтобы узнать результат раунда.

Как получить любой товар на Aliexpress бесплатно?

Способ взлома

1. Используем Charles для перехвата запроса.
2. Подменяем переменную score в запросе на возможное количество очков

Способы защиты

1. Кодирование score и не передавать его в открытом виде

Shake

• В русской локализации название игры «Потрясные монеты „
• Не более 500 встряхиваний в день

Второе после “Discount Defender» мобильное приложение. Суть проста: встряхиваешь телефон и получаешь 1, 2, 5, 15, 50 или 0 монет. Сначала я думал, что можно хакать монеты с помощью просто контроллера и сервопривада, встряхивая телефон, но это опасно и неудобно. Поэтому, на помощь вновь приходит перехват запросов.

Способ взлома

1. Используем ProxyDroid для перенаправления запросов на компьютер в локальной сети.
2. На компьютере перехватываем запрос с помощью Charles или любой другой подобной программы.
3. Повторяем запрос 1000 раз.

Способы защиты

1. Сделать защиту от «скоростных» встряхиваний
2. Присваивать каждому встряхиваю уникальный идентификатор
3. Добавить кнопку, чтобы перезапускать встряхивание

Scrath https://habr.com/ru/sandbox/80401/» target=»_blank»]habr.com[/mask_link]

Лучшие программы для взлома Wi-Fi сетей

В одном из наших предыдущих материалов мы уже рассказывали вам о лучших хакерских приложениях. Чтобы не пропускать такие материалы — подпишитесь на наш канал в Телеграм, если эта тема вам интересна. Сегодня же мы хотели бы продолжить разговор, посвятив его доступу к Wi-Fi сетям. Но сразу оговоримся. Мы никого не призываем вламываться в личное пространство других людей.

Вся информация предоставлена для того, чтобы вы знали больше о безопасности и не дали себя подловить. В крайнем случае, ее можно использовать для доступа к своей сети, если вы вдруг забыли от нее пароль.

Android-смартфон способен на многое. В том числе и на то, чтобы взломать беспроводную сеть

Kali Linux Nethunter — Почувствуйте себя хакером

Kali Linux Nethunter является первой в своем роде платформой для работы с Wi-Fi под Android с открытым исходным кодом. Используя это приложение, интерфейс которого, к сожалению, сложно назвать простым и понятным, можно получить полный доступ к беспроводным сетям и даже узнать некоторую информацию об устройствах, которые подключены к Wi-Fi.

aircrack-ng — Взломщик для профессионалов

Популярный инструмент для работы с сетями aircrack-ng является одним из тех, элементы которого очень часто заимствовали другие разработчики подобного софта. При этом основное предназначение программы — совсем не взлом, а защита беспроводных каналов связи. Но без специальных знаний за программу лучше не браться. Она разработана явно не для новичков. Работа aircrack-ng нацелена на поиск уязвимостей и «слабых мест» в беспроводных сетях, что позволит вам улучшить безопасность и предотвратить хакерские атаки в дальнейшем.

Shark For Root — Поиск уязвимостей в беспроводных сетях

Shark For Root — это Android-версия популярного пакета Wireshark с открытым исходным кодом, который обычно используется для анализа сетевого трафика и разработки протоколов безопасности. Обратите внимание, что вам понадобится Wireshark на вашем настольном компьютере, чтобы начать работу, так как приложение на смартфоне работает в паре со «старшим братом», дополняя его функциональность.

Zanti — Контроль доступа и не только

Этот простой в использовании мобильный инструментарий может быть использован для оценки безопасности сети WiFi, поиска уязвимостей и, конечно же, для проникновения в сети. Встроенный сканер WiFi показывает точки доступа, отмечая те из них, доступ к которым можно получить довольно легко. Вы также можете использовать приложение, чтобы «отрезать» входящий или исходящий трафик и оставить тем самым сеть без доступа в интернет.

Reaver — Как узнать пароль от сети Wi-Fi

Reaver — это приложение для взлома паролей сетей WiFi, которое при этом довольно несложно использовать. Reaver обнаруживает беспроводные маршрутизаторы с поддержкой протоколов WPS и WPA/WPA2. Всю информацию вы получаете на довольно информативном графическом интерфейсе. Если вдруг вы забыли пароль от своей домашней сети, а сбрасывать настройки роутера не хочется, то попробуйте Reaver

WPA WPS Tester — Не только взлом, но и защита

WPA WPS Tester в противовес предыдущей программе представляет собой инструмент для поиска уязвимостей в протоколах WPS и WPA/WPA2. Оно может не только «подобрать пароль» к сети, но и позволяет узнать, насколько сеть защищена от взлома, сканируя как входящие и исходящие пакеты, так и сами беспроводные устройства на предмет наличия уязвимостей вроде бэкдоров.

Теги

• Безопасность Android
• Новичкам в Android
• Операционная система Android

Источник: androidinsider.ru

Взломали аккаунт Алиекспресс

Дипломник

• Регистрация: 08.07.2011
• Сообщений: 242

• Webmoney BL: ?

Привет всем форумчанам, в общем произошла очень странная ситуация на Али.
Сегодня пришло обычное уведомление о том, что посылка уже у вас в отделении, хотя ее там не оказалось, начал смотреть по отслежке на али и ужаснулся от что увидел, кто-то взломал мой аккаунт и сменил адрес доставки и несколько моих посылок были отправлены на адрес неизвестного мне человека.

Сразу же сменил все пароли али/почта, написал в поддержку, сказали что у них в последнее время много таких случаев и передали мою проблему в соотвествующий отдел и сказали что защитят мои права (ответ пообещали в течении 2-х дней).

Как так он смог сменить без моего подтверждения по смс / почте?

Скрин данных этого умника прикрепляю:

Что мне предпринять в этой ситуации? Нужно что-то сделать чтобы ему не выдали эти посылки на почте. Звонить и что-то предъявлять я думаю бесполезно. Может в полицию заявление? сумма не маленькая)
Подскажите может кто сталкивался с подобным.

Спасибо сказали:

14.12.2017 18:04

Опытный

• Регистрация: 29.07.2014
• Сообщений: 463

• Webmoney BL: ?

Переписывайтесь с техподдержкой али. Это они должны предпринимать определённые действия и взаимодействовать с правоохранительными органами. Вы ничего сделать не можете, вы даже доказать не сможете что не вы этот заказ туда отправляли, на площадке всё сделано от вашего имени. А у них есть логи.
Что бы впредь такого не было, нужно заходить во все магазины, да и вообще везде, где есть работа с финансами с браузера без всяких плагинов, просто чистый арбуз. Идеалом конечно является антивирусная защита с поддержкой безопасного браузера, но можно просто создать новый профиль в том же хроме, удалить все его расширения, отключить все свистоперделки, как проверки правописания и подобная шляпа, отключить куки, обязателшьно, отключить хранение истории, и с этого профиля работать. Конечно не спасёт если в системе кейлогер, но сейчас даже самый стрёмный антивирь определяет кейлогеры в 70-99%.

Последний раз редактировалось dotWizard; 14.12.2017 в 18:10 .

Спасибо сказали:

14.12.2017 18:25

Дипломник

• Регистрация: 08.07.2011
• Сообщений: 242

• Webmoney BL: ?

dotWizard, спасибо за совет
пока-что жду ответа поддержки али)

а как насчет полиции по борьбе с кибер преступностью? я могу предоставить доказательства что оплачивал я, предоставить данные мошенника, они скорей всего настоящие, так как он не сможет забрать посылки с почты без паспорта.
Радует что мы хоть из одной страны, можно что-то порешать.

15.12.2017 05:16

Опытный

• Регистрация: 29.07.2014
• Сообщений: 463

• Webmoney BL: ?

Если из одной страны, попробуйте. Вдруг получится.

15.12.2017 11:37

Super Moderator

• Регистрация: 31.12.2010
• Сообщений: 4,403

• Webmoney BL: ?

Держите нас в курсе, как вопрос разрешится. Любопытная тема.

17.12.2017 16:00

Дипломник

• Регистрация: 08.07.2011
• Сообщений: 242

• Webmoney BL: ?

Уже есть хорошие новости, написал в поддержку ПриватБанка, объяснил ситуацию, уже вернули деньги за 3 посылки (из 7), почти 50% всей суммы, остальные пока на рассмотрении

даже если мне вернут всю сумму, то все равно нужно наказать этого чертя, уже написал заявление в спец.отдел

Спасибо сказали:

Coder(17.12.2017), dotWizard(31.12.2017),
31.12.2017 01:10

• Регистрация: 19.04.2011
• Сообщений: 742
• Записей в дневнике: 4

Не знаю как с Али, но у меня красиво увели STEAM аккаунт. Не зная пароля к почте и ответов на секретные вопросы (которые у меня были длинными рандомными последовательностями, а вовсе не кличкой попугая которую легко подобрать). Пришло пара писем на почту с подтверждением смены пароля мол если это не вы то просто не реагируйте на это письмо, через пару дней аккаунт тютю.

31.12.2017 05:50

• Регистрация: 12.04.2011
• Сообщений: 794

Для оплаты не нужно указывать CVC код карты?

02.01.2018 13:58

• Регистрация: 22.12.2011
• Сообщений: 348

Сейчас это очень популярно, наблюдал за чатами в телеге — начиная от рефаунда заканчивая продажей акков али с товарами которые оплачены, но не отправлены (цена акка около 10% от стоимости товара (черти) ).
Ребята знают базовые знания безопасности, заходят на акк через впн ( меняют почту, пас, отвязывают акк от соц сетей и т.д.) и после говорят с продавцом чтобы он отправил на другой адрес, по их статистике порядка 90% продавцов отправляют ( какая им разница куда слать если товар уже оплачен? ) обычно принимает дроп ( но, судя по их общению это родственники или одноклассники)
Уверен, большинство из них не умные люди которые это делают со своего ИП, если так, то конечно будет всё проще «решить» , а если впн, то это будет выглядеть со стороны, что кто-то зашёл на акк и кому-то что-то отправил, человеку пришло извещение сходил забрал посылку, со стороны это выглядит «обычным делом»
Так такового мошенничества тут нет (если грубо говорить) и почему-то уверен, что отделу по «этим делам» это будет не нужно вовсе одна из причин разные страны ( Китай — адрес получателя) Если магазин был страны получателя и в нём изменен адрес получателя, думаю действия были бы незамедлительными.
Это очень мощный конвейер школьных халявщиков, которые очень наглые и глупые.
Я тут вижу одно решение, это лично приходить в гости ( либо искать знакомых по адресу получателя)
Обновите пассы от али, почты, привяжите акки к соц сетям и т.д.
С новым годом.

———- Сообщение добавлено 13:41 ———- Предыдущее 13:16 ———-

MetalMessiah,это видимо проходила авторизация по кукам

———- Сообщение добавлено 13:58 ———- Предыдущее 13:41 ———-

Elsone,нужно, но можно сохранить карту и оплачивать без свс, указывая пароль ( как я понимаю это альтернатива свс в более удобном виде) иногда будет просить пароль на транзакцию (в рандомном порядке без какой либо логике в цене товара)
Я в этом не силён, может что-то не так написал, думаю поняли мою мысль.

Источник: webmasters.ru