Si kam mundur ta hakoj çdo llogari në Instagram


Nga Laxman Muthiyah, autor në Zerohack

Në këtë artikull do të tregoj se si kam gjetur një problem në Instagram, që më lejoi të hakeroja çdo llogari. Skuadra e sigurisë në Facebook dhe Instagram e rregulloi çështjen dhe më shpërbleu $30 000.

Facebook po punon vazhdimisht për të përmirësuar kontrollet e sigurisë në të gjitha platformat e tyre. Ata, kohët e fundit kanë rritur pagesat e shpërblimeve për të gjitha problemet kritike, duke përfshirë hakimet e llogarive. Kështu, vendosa të provoj fatin tim në Facebook dhe Instagram. Për fat të mirë, munda të gjej një problem të tillë në Instagram.

U përpoqa të ndryshoja fjalëkalimin tim në website-in e Instagram-it. Ata kanë një mekanizëm të ndryshimit të fjalëkalimit të bazuar në një link, i cili është shumë i fortë dhe nuk mund të gjeja ndonjë gabim në të.

Pastaj hyra në aplikacionin mobile, ku isha në gjendje të dalloja diçka të dyshimtë. Kur një përdorues shkruan numrin e tij / saj të telefonit mobil, atij i dërgohet një kod me gjashtë shifra në numrin mobile. Ata duhet të hyjnë në të për të ndryshuar fjalëkalimin e tyre. Pra, nëse ne jemi në gjendje të provojmë të gjitha kodet e mundshme të verifikimit (një milion), ne do të ishim në gjendje të ndryshonim fjalëkalimin e çdo llogarie. Por unë isha shumë i sigurt se duhet të ketë një normë të kufizuar kundër sulmeve të tilla brutale. Dhe vendosa t’a provoj.

Testet e mia treguan praninë e kufizimit të normave. Dërgova rreth 1000 kërkesa, 250 prej tyre kaluan dhe 750 kërkesat tjerë u kufizuan. E provova me 1000 kërkesa të tjera dhe tani shumë prej tyre u kufizuan.

Dy gjëra të rëndësishme që i vura re ishin numri i kërkesave dhe mungesa e listës së zezë. Unë isha në gjendje të dërgoja kërkesa vazhdimisht pa u kufizuar edhe pse numri i kërkesave që mund të dërgoja në një kohë të caktuar ishte i kufizuar.

Pas disa ditësh testimi, gjeta dy gjëra që më lejuan të hakeroja mekanizmin e kufizimit të tyre.

  1. Gjendjen e Rrezikut (Race Hazard) dhe
  2. Rotacionin IP.

Për të kuptuar se çfarë është Gjendja e rrezikut, ju lutemi klikoni këtu. Dërgimi i kërkesave të njëkohshme duke përdorur IP të shumta më mundësojë që të dërgoj një numër të madh kërkesash pa u kufizuar. Numri i kërkesave që mund të dërgojmë varet nga numri i IP-ve që përdorim. Gjithashtu, kuptova se kodi skadon për 10 minuta dhe e bën sulmin më të vështirë, prandaj ne kemi nevojë për 1000 IP-ja për të kryer sulmin.

Unë i kam përdorur 1000 pajisje të ndryshme dhe IP për të dërguar 200 mijë kërkesa (që është 20 për qind e gjithsej një milion probabiliteti) në testet e mia.

Në një sulm kibernetik në jetën reale, hakeri ka nevojë për 5000 IP për të hakuar një llogari. Kjo tingëllon e madhe, por është e lehtë nëse përdorni një ofrues të shërbimit cloud si Amazon ose Google. Do të kushtonte vetëm 150 dollarë për të kryer një sulm të plotë të një milion kodeve.

Dërgimi i 200 mijë kërkesave

TheZeroHack

Must watch
Business Mag Nr. #22 - Dhjetor 2019

Kemi ndjekur me vëmendje zhvillimet në ekonomi, e në veçanti ata që ne i quajmë gjeneratorët e kësaj ekonomie, sipërmarrësit privatë. Padyshim që sfidat janë të mëdha. Tregje të pa konsoliduara, konkurrencë e pandershme në shumë sektorë, pak mundësi për financim dhe investime në projekte të reja, Por ne kemi vërejtur gjithashtu një dinamikë e dëshirë të madhe për të ecur përpara.

Në Numrin 22 të Revistës së Businessmag, ju do të gjeni sipërmarrës të dhjetëvjeçarit të fundit, të cilët po shënojnë historinë e tyre të suksesit pa u ndier. Aktivë, energjikë, vizionarë dhe shumë të thjeshtë, ata mund të jenë një model shumë i mirë për t’u ndjekur. I tillë është Urani. Pasioni për perfeksionizëm e siguri nuk ia ul ritmin marramendës të ngritjes dhe zhvillimit të një biznesi. Ai sot ka ngritur një rrjet biznesesh të tija dhe administron edhe sipërmarrje të tjera.

Në brendësi të revistës do të gjeni edhe sipërmarrës të tjerë, nga Shqipëria dhe Kosova.

Ky numër u është dedikuar personazheve të suksesshshëm dhe zhvillimit të aftësive në shërbim të tregut. Ndaj i kemi dedkuar një paketë speciale artikujsh kapitalit njerëzor, rëndësisë së tij, sfidave dhe projekteve të vitit të arshshëm, të prezantuara në Shkollën Verore organizuar nga projekti zviceran “Aftësi për Punë”.

Mes personazheve ju sjellim Brizida Delvina, administratore e një hoteli në Tiranë, Ajo ka zhvilluar një karrierë ideale në fushën e hoteleri-turizmit. Edhe pse Brizida pëlqen të rrijë larg vëmendjes, ajo është një model frymëzues dhe një mentore e mundshme, tashmë edhe për ju që do …

Shiko më shumë
Na ndiqni në rrjetet sociale