- Hacker Uses XSS and Google Street View Data to Determine Physical Location
- CAnCAn te iubim, CA CA tine nu gasim. Superfete.cancan.ro e de rahat
- Deface (?!?) pe Cotidianul.ro
- Virusi in clipuri video [how to]
- Cyber-Bullying – palma parinteasca a noului mileniu
- Christopher “moot” Poole: The case for anonymity online
- Wtf Avira?
- Some old story about tagged.com
- Pwning cam girls for fun
- Tabloshit
- Yahoo! again - XSS in Uncategorized (357 Visits)
- Yahoo! again - bad settings? in Uncategorized (252 Visits)
- Fanii nostri in Uncategorized (183 Visits)
- Frustrant in Uncategorized (146 Visits)
- La multi ani România, la multi ani românilor in Uncategorized (137 Visits)
- Weblog.ro - Shell via Local File Inclusion in Uncategorized (119 Visits)
- Yahoo! epic fail - permanent xss unleashed in Uncategorized (50 Visits)
- ... in Uncategorized (38 Visits)
- XSS Ownage - hi5 vs. Yahoo! + video in Uncategorized (2 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/Hi5 (4) in Uncategorized (2 Visits)
- Hackersblog.org is now blog.rstcenter.com in (1770 Visits)
- O mica dar importanta precizare in (1371 Visits)
- Twitter in (805 Visits)
- This is the end in (777 Visits)
- Ce servicii de mail folositi? in (773 Visits)
- Un nou membru in (730 Visits)
- La multi ani România, la multi ani românilor in (718 Visits)
- Inca o pierdere de timp in (675 Visits)
- De reţinut in (634 Visits)
- Azi este ziua userilor hackersblog.org in (610 Visits)
- SMS scam (1) in (564 Visits)
- Dezinformare sau proasta informare? in (563 Visits)
- Hi5.com coders read this in (553 Visits)
- Phishing Raiffeisen cu atasament html in (516 Visits)
- Phishing Bancpost in (486 Visits)
- Si tentativele de phishing pot fi amuzante in (422 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/mail (2) in (2707 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/Hi5 (4) in (2601 Visits)
- Despre CSRF, hi5.com, cum sa trisezi la concursuri s.a.m.d. in (1143 Visits)
- [Utilitare] Suna gratis de pe internet sau de pe iPhone in (1107 Visits)
- Ce nu se invata la scoala - (D)DOS (5) in (950 Visits)
- Virusi in clipuri video [how to] in (838 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam (1) in (725 Visits)
- Yahoo! redirects - a big issue (with video) in (570 Visits)
- Internet vs. privacy (1) in (469 Visits)
- Ca musca in... in (435 Visits)
- RedTube.com ... The Free Sex Video Community in (12973 Visits)
- usa.kaspersky.com hacked ... full database acces , sql injection in (4921 Visits)
- libertatea.ro vulnerabil la (blind) sql injection in (2950 Visits)
- Pwning cam girls for fun in (2586 Visits)
- Telegraph.co.uk hacked, sql injection in (2547 Visits)
- Facebook hacked - sql injection in (2425 Visits)
- Simpatie.ro, matrimoniale3x.ro, apetisant.ro, deliciu.ro , etc Sql injection in (2406 Visits)
- F-Secure.com - SQL Injection + Cross Site Scripting in (1775 Visits)
- [Hacked]Bitdefender (Portugal) exposes sensitive customer data in (1744 Visits)
- Wtf Avira? in (1723 Visits)
- Christopher "moot" Poole: The case for anonymity online in (1495 Visits)
- Digital Photocopiers Loaded With Secrets in (1458 Visits)
- Wannabe Hackers [2] - cum sa faci un virus by sppy_hacker in (592 Visits)
- Wannabe Hackers [1] - Cum sa hack-uiesti RapidShare-ul in (590 Visits)
- Hope 2603 – Kevin Mitnick - Life a Computer Hacker – Revealed in (463 Visits)
- PRIVACY IS DEAD - GET OVER IT, Pt 01-34 (Recommended by Hackersblog ) in (396 Visits)
- Oldies but goodies - Freedom Downtime - The Story of Kevin Mitnick in (379 Visits)
- [Video] The History Of Hacking in (373 Visits)
- Email Security - Why You Should Encrypt Your Email - Part One in (368 Visits)
- The Story of DEFCON in (343 Visits)
- Deface - tuttoaffari.lastampa.it si citymusiclab.city.corriere.it in (3493 Visits)
- RNS vs. RAI - citizenreport.rai.it hacked. in (3300 Visits)
- Hi5 email finder si sfarsitul a tot ceea ce inseamna privacy in social networking in (2996 Visits)
- Se poate sparge parola de Yahoo? in (2572 Visits)
- Free SMS time, TrimiteSMS.ro in (2492 Visits)
- Planete-plus-intelligente.lemonde.fr defaced by R.N.S. in (2464 Visits)
- Gmail uber hacking in (2256 Visits)
- Camera de supraveghere a universitatii Alexandru Ioan Cuza din Iasi in (2255 Visits)
- Cancan.ro spart pentru a doua oara intr-o zi in (2252 Visits)
- Stiri cu antena3 in (2208 Visits)
Posted on June 14th, 2009
Ceea ce va voi arata in acest articol este super secret si nimeni nu stie de metoda respectiva. <= LOL
Cookie stuffing este una dintre cele mai simple si intalnite modalitati de a pacali sistemele de afiliere. Versiunea simpla necesita pentru functionare un site pe care sa il inscrieti in sistemul de afiliere si introducerea in paginile acestui site a unui cod html.
Sa dau mai multe explicatii sau sa trec direct la demo?
Sa spunem ca site-ul http://emanuelgrigoras.ro/ imi apartine. Scuze Emanuel dar nu am gasit la ora asta pe altul care sa fie afiliat la eMAG. Cu un simplu click dreapta pe reclama eMAG si copy link voi descoperi minunea. Pot sa copiez linkul care le seteaza oamenilor cookie-ul meu de afiliat.
Iau una bucata link si ii mai adaug niste chestii la inceput si la sfarsit. Adica ceva de genul:
<img src=http://LinkulMeuDeAfiliatCopiatMaiDevreme>
Toata dracia asta o adaug in codul html de pe indexul meu. Pot sa folosesc ca alternativa si “<iframe src”, GET in swf si alte chestii ca nu se supara nimeni. Ce se intampla dupa?
Toti vizitatorii de pe site-ul meu isi vor seta automat cookie-ul meu de afiliat, fara a da click pe bannere, iar in cazul in care cumpara in decurs de 30 de zile ceva de pe eMAG.ro eu voi primi acel fabulos comision de 3%.
Dar ce se intampla cu cei care deja au deja setate cookie-urile altor afiliati? Oare pot face ceva pentru a beneficia tot eu de respectivul procent? Yeah, I can, I can.
Cu ajutorul javascript se pot seta, sterge, suprascrie, cookie-urile din browsere. Am vrut sa fac un proof of concept dar sincer mi-a fost lene. Deci ca sa putem folosi minunatul javascript pentru a suprascrie cookies deja existente este nevoie de un xss in site-ul eMAG. Exista oare? Cautam timp de 20 de secunde (Google we love you) si gasim asta:
http://info.emag.ro/?action=search?suchbegriff=%22%3E%3Cscript%3Ealert(101)%3C%2Fscript%3E&x=0&y=0
In rest e simplu. http://info.emag.ro/?action=search?suchbegriff=”><script>document.cookie= parametri, chestii, dude etc etc si incheiem cu </script>. Totul introdus in site-ul folosit la afilierea cu eMAG. Explicatiile amanuntite despre modificarea unui cookie se afla pe sute de site-uri asa ca le veti gasi extrem de rapid.
Damn, am uitat sa precizez. Referrer va fi cel corect din moment ce codul html e prezent pe site-ul meu. Oare verifica cineva manual codurile sursa din paginile afiliatilor pentru a inchide conturile folosite la cookie stuffing? Ramane o enigma.
Solutii la aceasta problema? Azi nu oferim.
June 14th, 2009 at 6:01 am
[...] Nici Profitshare nu sta mai [...]
June 14th, 2009 at 6:20 am
Nu am supar ca ai mentionat blog-ul meu. Toate post-urile de aici sunt cu siguranta interesante pentru cei care vor sa castige bani online. La mine este mai mult un exercitiu, pentru ca nu ii acord indeajuns timp.
Interesul meu tine mai mult de “personal branding”.
Am insa o intrebare: in momentul in care modifici html si mai pui o instructiune, oricine da click dreapta pe pagina si “View page source” poate vedea html-ul paginii. Asta inseamna ca poate vedea si acea linie de cod pe care am scris-o?
Cu siguranta compania la care sunt afiliat ar considera acest lucru lipsit de etica si m-ar samctiona.
Tinand cont ca dau prioritate prezentei mele online si nu banilor …. nu as dori asta.
June 14th, 2009 at 7:29 am
Salut Emanuel.
Nu stiu daca am inteles exact intrebarea ta. Daca te referi STRICT la html oricine iti poate vedea acea linie de cod.
In cazul php spre exemplu, vizualizarea intregii surse e posibila doar daca s-au facut niste greseli destul de maricele in coding.
June 14th, 2009 at 12:22 pm
Am inteles ca pui acea linie de cod in index.PHP. Vroiam sa stiu daca este acelasi lucru cu Html de la pagina.
June 14th, 2009 at 12:26 pm
P.S. – Scuze daca suna a o chestie pe care ar trebui sa o stiu. Expertiza mea tehnica se limiteaza la a schimba culori.
June 14th, 2009 at 1:36 pm
E mai mult bataie de cap decat castig pentru cei 3%.
June 14th, 2009 at 4:29 pm
@Emanuel – daca folosesti iframe, javascript sau image tag, se va vedea cu ochiul liber respectivul cod html. Dar pentru a ascunde acel cod html exista GET in swf-uri, ceea ce face mai greu de gasit un asemenea script.
@Vlad – cu eMAG da e bataie de cap pentru ca e conversia mica. Dar afilierea cu site-urile adult poate aduce un profit frumusel folosindu-se asemenea trucuri (vezi livejasmin).
June 14th, 2009 at 6:26 pm
@2fingers: inca o chestie: daca pe langa ceea ce ai prezentat mai sus, mai adaugi si codul html care ti-l da emag (sa para totul in regula), deja nu prea mai dai de banuit, decat daca sta cineva sa-ti analizeze cu adevarat pagina.
June 14th, 2009 at 6:30 pm
@Octav – da. Am uitat sa precizez asta probabil gandidu-ma ca daca sunt afiliat oricum pastrez codul lor pe site. Merci de completare.
June 14th, 2009 at 7:38 pm
si daca se pun sa analizeze pagina, presupunand ca folosesti o librarie js, poti ascunde cod (obfuscated) javascript in el ca sa nu iasa in evidenta…
un mic exemplu:
fc = window['String']['fromCharCode'];beta = /Image/.source;
new window[beta]().src=Function('a', 'l=a.length; x=""; for(i=0;i<l;i++) { x+=fc(a[i]); } return x;')([104, 116, 116, 112, 58, 47, 47, 108, 105, 110, 107, 97, 102, 105, 108, 105, 101, 114, 101]);
June 14th, 2009 at 9:21 pm
@2fingers: merge sigur, nu stiu cam ce metode de combatere al fenomenului folosesc cei de la livejasmin. eu stiam de metoda de pe vremea inceputurilor programului de afiliere ebay de pe cj. S-au facut $$$ frumosi pe atunci. Intre timp a mai fost si un class action lawsuit impotriva CJ prin care au fost obligati sa plateasca in jur de $1mil catre publisheri + Shawn Hogan(proprietar DP) si alti publisheri au fost dati in judecata de ebay din aceleasi motive.
June 15th, 2009 at 12:59 pm
@dblackshell,
Ideea ta e buna, dar cred ca, asa cum a spus si 2fingers, e mai simplu si mult mai sigur sa folosesti un “micut si dragut filmulet flash”…
June 15th, 2009 at 3:33 pm
Hi.
Poti sa testezi asta in 2Parale?
Ce ai povestit se numeste Cookie Stuffing, e o tehnica destul de cunoscuta(sunt multe scripturi care va ajuta sa abuzati de asta daca ii stiti numele).
Afaik cred ca e destul de OK la noi, can’t be sure.
ahm.. multumesc.
June 15th, 2009 at 3:49 pm
@Radu – Am nevoie de link catre un site care foloseste sistemul vostru. Daca permiteti iframes e posibil din start.
June 15th, 2009 at 4:22 pm
@2fingers
http://www.curvette.ro
nu permitem iframes, in acelasi timp inca o verificare de la cineva care stie la ce sa se uite ne poate doar ajuta
June 15th, 2009 at 5:18 pm
@2fingers
Ahm, poti sa imi dai pls un email sa iti dau un cont de test?
June 15th, 2009 at 5:22 pm
Sistemul 2parale este destul de bine facut la prima vedere dar rezolvati problema cu xss-ul din http://www.2parale.ro/home/contact?locale= (sau http://event.2parale.ro/home/contact?locale= ca e same shit), altfel se poate scrie sau suprascrie cookie fara ca sistemul vostru de protectie sa mai poata avea efect impotriva la iframes si a altor metode.
June 15th, 2009 at 5:24 pm
@2fingers
Super cool faza cu alert in locale. Era un bug in sistemul de traducere (care scapa si de XSS-urile noastre).
P.S. Da, am vazut in timp ce il faceai, acum nu mai merge asta.
Testezi si inside? Iti dau o bere pentru fiecare bug gasit(sau altceva care vrei tu)
Also in 90% din cazuri chiar daca se suprascrie acel cookie nu va afecta trackingul, pentru ca cookieul e ultima varianta.
June 15th, 2009 at 5:26 pm
In cazul asta felicitari pentru un sistem bine pus la punct Radu. Diseara o sa iti dau un mail prin care putem coresponda.
June 15th, 2009 at 5:37 pm
Ce se intampla la locale:
la initializare ruleaza:
:set_p3p, :load_api_data, :set_locale, [..] :sanitize_params
See the problem? sanitize_params e dupa set_locale.
De asta am zis ca era izolat doar la locale cu XSS.
June 15th, 2009 at 5:37 pm
@2fingers
Vb mai incolo atunci…
July 23rd, 2009 at 12:12 am
si pot folosti intr-un site de mai multe ori asta, adica pot baga si emag, comenzi.ro si alte 2-3? Sau doar unul?
January 21st, 2010 at 3:32 pm
Mda insa ca sa fie si mai oki si sa nu isi dea seama afiliatul se practica tehnica sa ii faci un fake referrer
astfel incat faci un site white hat (pe care pui banere si prostii si etc etc) si toate cookiurile le arunci de pe site-urile black hat cu fake referer astefl incat emag si care mai sunt nu au cum sa isi dea seama ca na faci cs:P insa de obicei despre cs nu rpea se vorbeste asa in public:P
January 30th, 2010 at 12:00 am
Cum poti sa faci un fake referrer in javascript? Ma intereseaza dintr-un total white hat point of view.
Am incercat tot felul de combinatii dar broswerul te lasa sa modifici doar window.hash, care nu e trimis server side.
Daca vrei sa modifici prin window.location cauzeaza un redirect in plus, care eu nu il vreau.
March 9th, 2010 at 8:29 pm
V-a mers pana acum la vre-o unu…ati scos banii sau ati luat produse? .. eu am strans ceva dar mi-e putin frica sa dau comanda poate platesc ce cumpar
Multumesc
July 1st, 2010 at 10:14 am
Este foarte simplu ca eMag (sau alte retele de affiliate) sa descopere aceste fraude.
Este suficient sa deschida pagina affiliate-ului intr-un browser unde nu au setata cookie-uri, sa se plimba un pic pe site-ul respectiv, iar apoi sa verifice daca s-au setat cookie-urile eMag FARA SA FI DAT CLICK PE BANNER. Nici nu trebuie sa verifice codul sursa.
Si, ce faci daca strangi la ei o gramada de bani si cand ii ceri, te verifica si iti inchid contul?
Spor la… plans!