ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
06.12.2016, 01:20
|
|
Новичок
Регистрация: 06.12.2009
Сообщений: 1
Провел на форуме:
21821
Репутация:
0
|
|
наверное это уязвимость какого то отдельного банка, а то выходит больно мощная уязвимость которую не могли не заметить раньше,
всегда думал что количество попыток там сильно ограничено, хотя возникает вопрос, что делать если злоумышленники, например конкуренты, знают номер карты и постоянно делают попытки оплаты, тем самым блокируя возможность сделать оплату настоящему владельцу
Сообщение от +
+ said:
↑
Аналогичный распределенный брутфорс был использован для подбора CVV-кода: так как в CVV-коде всего три цифры, атакующему понадобится сделать не более тысячи предположений. странно что его можно отдельно брутфорсить, а не все данные разом отсылать, а банк в ответ говорит верны ли все данные вместе срок действия + cvv |
|
|
06.12.2016, 12:39
|
|
Guest
Сообщений: n/a
Провел на форуме:
417
Репутация:
0
|
|
Прикольно)) берем в работу) Осталось найти программу)
|
|
|
|
06.12.2016, 18:44
|
|
Guest
Сообщений: n/a
Провел на форуме:
17962
Репутация:
33
|
|
Сообщение от trolex
trolex said:
↑
странно что его можно отдельно брутфорсить, а не все данные разом отсылать, а банк в ответ говорит верны ли все данные вместе срок действия + cvv Как я понял, предполагается, что дату ты знаешь.
|
|
|
|
06.12.2016, 19:38
|
|
Guest
Сообщений: n/a
Провел на форуме:
884729
Репутация:
373
|
|
Ох чую кто-то пошопится на таких новостях...
|
|
|
|
06.12.2016, 19:43
|
|
Новичок
Регистрация: 06.12.2009
Сообщений: 1
Провел на форуме:
21821
Репутация:
0
|
|
Сообщение от Раrаdох
Раrаdох said:
↑
Как я понял, предполагается, что дату ты знаешь. дату они сбрутфорсили
Сообщение от +
+ said:
↑
Срок «жизни» большинства карт составляет 60 месяцев, и исследователям потребовалось лишь несколько секунд, чтобы разослать всем 342 сайтам запросы с разными комбинациями дат и подобрать нужную. видимо так уязвимость ещё в том, что позволяет один параметр отдельно брутфорсить, если бы данные все одновременно проверялись, то комбинаций было бы намного больше
|
|
|
|
06.12.2016, 22:06
|
|
Guest
Сообщений: n/a
Провел на форуме:
17962
Репутация:
33
|
|
Сообщение от trolex
trolex said:
↑
дату они сбрутфорсилие Сначала дату, затем CVV (на основе того, что дату ты уже сбрутил.
|
|
|
|
07.12.2016, 00:47
|
|
Guest
Сообщений: n/a
Провел на форуме:
97867
Репутация:
52
|
|
Уже давно думал об этом, но до эксперимента руки не доходили из-за отсутствия мотивации.
Кроме того, некоторые шопы требуют ввода не только срока действия, но и правильного имени+фамилии.
Если для покупки нужны только номер карты, cvv и срок действия то:
Число комбинаций cvv-кода = 999
Число комбинаций дат (если срок действия карты до 3 лет) 12*3 = 36
Итого нам надо попыток покупки: 999*36 = 35964
Если мы сделали брут для 1000 шопов то на каждый шоп получится 36 попыток покупки.
Сделать поддержку хотябы 100 шопов - это дохерища работы, у одного человека как минимум на месяц. Если это реализуют то народ будут грабить в промышленных масштабах. По мелочи не получится. Хотя, если сделать под один популярный движок шопа то уже работы меньше. Вообще меня всегда удивлял идиотизм карточных систем. Сделать cvv-код длиной в 3 цифры - это верх идиотизма.
Сообщение от StaFFF
StaFFF said:
↑
Осталось найти программу) Ага, ищи. |
|
|
|
07.12.2016, 01:19
|
|
Познающий
Регистрация: 25.10.2007
Сообщений: 46
Провел на форуме:
318186
Репутация:
2
|
|
Давно уже видел ребята на тематических бордах обсуждали и практиковали данный способ. Не знаю правда успешно или нет))
|
|
|
|
07.12.2016, 06:22
|
|
Новичок
Регистрация: 06.12.2009
Сообщений: 1
Провел на форуме:
21821
Репутация:
0
|
|
Сообщение от pas9x
pas9x said:
↑
Если для покупки нужны только номер карты, cvv и срок действия то:
Число комбинаций cvv-кода = 999
Число комбинаций дат (если срок действия карты до 3 лет) 12*3 = 36
Итого нам надо попыток покупки: 999*36 = 35964 там прикол в том, что каждый параметр по отдельности брутят, хотя я кажется догадался как, вспомнил что некоторым магазинам достаточно только номера карты и срока действия, на них подбирают срок действия, а cvv подбирают на других магазинах,
однако остаётся не ясно как они брутят номер карты, там же 16 знаков, даже если на каждого жителя планеты приходится по одной карте, то это 9 знаков, остаётся ещё 7 знаков, то есть 10 млн вариантов на одну карту, может номера картам по порядку выдают, и ещё не понятно где проверить номер на валидность
|
|
|
|
07.12.2016, 10:21
|
|
Guest
Сообщений: n/a
Провел на форуме:
468
Репутация:
0
|
|
Сообщение от trolex
trolex said:
↑
там прикол в том, что каждый параметр по отдельности брутят, хотя я кажется догадался как, вспомнил что некоторым магазинам достаточно только номера карты и срока действия, на них подбирают срок действия, а cvv подбирают на других магазинах,
однако остаётся не ясно как они брутят номер карты, там же 16 знаков, даже если на каждого жителя планеты приходится по одной карте, то это 9 знаков, остаётся ещё 7 знаков, то есть 10 млн вариантов на одну карту, может номера картам по порядку выдают, и ещё не понятно где проверить номер на валидность
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
