我如何在没有编程知识的情况下破解Qiwi

参赛作品

你好

这次，本文不会提出“严重”的问题。

这将是一个故事，讲述如何在不了解程序的情况下，但是非常精明和专心的人，会发现一个严重的漏洞，例如，该漏洞将使您仅使用用户名和密码就可以注销帐户中的所有资金（读取，绕过两因素验证或同样通过短信确认）。

目前，Qiwi已经成功对其进行了修补，因此我将尝试使用现代屏幕截图来加强说明，有时会解释2.5年前的外观。

现在到重点

假设您有一个用户名：别人的Qiwi钱包的密码。
假设有10万卢布。
而且您非常想拥有它们。
但是，您不能只注销资金-您需要通过SMS进行确认。
但是我们很聪明，这不会阻止我们。

步骤1.登录到您的帐户并在其中创建虚拟卡。
看这样的照片



看来我们掌握的信息很少。 卡的最后4位数字和卡的有效期

但是在卡的最后6位之前（！） 。 也就是说，另外10位数字未知。
我们需要卡片上的所有数字。 在哪里获得更多？ 很简单
所有卡都具有BIN-同一类型的特定银行的卡的前6位数字应该相同。

第2步。我们进入浏览器并使用Google“ Qiwi BIN”

马上我们发现垃圾箱是489049。
现在我们已经有12位数字了！ 仅剩4个！

但是困难来了。
这4位数字不会在任何地方闪烁，而且似乎无处可寻。
但是，当然，如果您努力尝试，可以找到:)

第3步。找到丢失的最后4位数字

为此，我们需要在Qiwi中有一个1000r的帐户，并且知道Moon算法是什么。
让我们去吧。
如果您在Qiwi中打开任何操作，则会显示付款日期和收据编号。
也许有些人已经猜到了为什么我们的帐户需要1k。
是的，我们将按顺序替换数字，而不是那些仍然未知的未知4位数字，并将它们发送给卢布的卡号！
在其中一项操作中，我们将收到一笔1p的现金到存有10万卢布的帐户。
剩下的只是比较汇款时间。
以前，可以匹配操作号，但是现在他们将其隐藏了。 他们做对了。
现在，最专心的人会说实际上4位数字是10k运算，而不是1k。 因此，您需要1万卢布和大量时间才能找到正确的4位数字。
这并非完全正确。 我向您介绍Moon算法！

Luhn算法是一种根据ISO / IEC 7812计算塑料卡号的校验位的算法。它不是加密工具，但主要用于检测由无意的数据损坏（例如，手动输入数字）引起的错误。通过电话接收社会安全号码上的数据时使用信用卡）。 它仅以一定程度的可靠性来判断数字块中是否存在错误，但不允许查找和纠正发现的不准确性。

如果它非常有趣-google，我将简单介绍一下该算法及其对我们的帮助。
该算法使您可以确认卡号是否有效。 也就是说，通过该算法运行了我们的10k选项后，您只能保留可能存在的卡的数量。 猜猜会有多少？
是的，正好是1k

当然，手动完成所有这些操作似乎很方便，但是是什么阻止了简单的脚本生成这些非常1k的选项呢？

以下是一些Wikipedia实现示例：



现在，我们需要使用上述方法对这些1k选项进行分类。
瞧-我们得到了最后4位数字。
现在我们有了卡的完整代码及其有效性。
当然，我们没有CVV代码（写在背面的代码），但是在某些地方则不需要。
例如亚马逊！
是的，我们去了亚马逊，并借助新生成的数据订购了任何东西。
例如，Steam为钱或类似的东西编码。 通常，有一些电子产品可以在互联网上快速销售。 我们将损失一点钱，但最多不会超过20％。
仅此而已！ 获得+ 79k利润！

不要忘记这不再起作用！

但是，如果您发现类似的内容-告诉Qiwi，他们将（希望）将其修复。
我进行了布局，以表明即使没有编程能力，也可以找到很酷的东西和安全漏洞。 并为一般发展。

祝大家好运:)