Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Zhackowali appkę, która kradła dane kart płatniczych. Dali alert dla potencjalnych ofiar.
Scammerzy przygotowali dość prostą appkę androidową, która pod pozorem super nagrody w postaci punktów lojalnościowych do pewnego programu, zbierała dane kart płatniczych.
Hackerzy najpierw zdekompilowali appkę, gdzie widać w którym miejscu znajduje się API, z którym komunikuje się appka. Widzicie /api/signup.php ?
Ten signup w sumie niewiele dawał, ale skłonił badaczy do zbadania innych ciekawych, ukrytych zasobów na serwerze. Np. panel administracyjny dla scammerów znajdował się w bardzo ukrytej ścieżce: /admin/
Czy pasowało admin/admin ? Nie, ale można było użyć najprostszego na świecie wstrzyknięcia SQL injection w postaci: ’ or '1’=’1
Otrzymując nim dostęp do zalogowanego panelu admina, a następnie przeglądać dane oscamowanych:
Na koniec hackerzy podmienili w panelu administracyjnym komunikat, który wyświetlany jest użytkownikom odpalającym scamową appkę:
~ms
Nazwiska międzynarodowe w szkołach we Wrocławiu kradną regulacje prawne. Podstawy regulacji trzeba znać. Uwaga na szpit…..
Można po polskiemu?