黑帽美国会议。 致富或丧命：使用Black Hat在互联网上赚钱。 第三部分

黑帽美国会议。 致富或丧命：使用Black Hat在互联网上赚钱。 第一部分
黑帽美国会议。 致富或丧命：使用Black Hat在互联网上赚钱。 第二部分

他们甚至讨论了使UPS司机与嫌疑人对抗的可能性。 现在让我们检查一下这张幻灯片上引用的内容是否合法。



FTC联邦贸易委员会对以下问题的回答是：“我是否必须退货或付款我从未订购的产品？”-“否。 如果您收到未订购的产品，则有合法权利接受它作为免费礼物。” 这听起来合乎道德吗？ 我洗手是因为我不够聪明，无法讨论此类问题。

但是有趣的是，我们看到一种趋势，在这种趋势下，我们使用的技术越少，我们得到的钱就越多。

会员网络欺诈

杰里米·格罗斯曼（Jeremy Grossman）：确实很难理解，但是通过这种方式，您可以获得六位数的钱。 因此，对于您听到的所有故事，都有真实的链接，您可以详细了解所有这些内容。 联盟欺诈是最有趣的在线欺诈类型之一。 在线商店和广告商通过会员网络推动流量和用户访问其站点，以换取由此产生的部分利润。

我将谈论很多人已经知道很多年的事情，但是我找不到一个公共链接可以表明这种欺诈行为造成了多少损失。 据我所知，没有诉讼，也没有刑事调查。 我与从事生产的企业家进行了交谈，与联盟网络中的人员进行了交谈，还与黑猫进行了交谈-他们都确信诈骗者从合伙企业中赚了很多钱。

我请你相信我，并结识我针对这些特定问题完成的“作业”的结果。 诈骗者使用特殊技术“骗”他们5-6位数字，有时每月“焊接” 7位数字。 如果没有保密协议的约束，这个房间里的人可以验证这一点。 因此，我将向您展示这是如何工作的。 该计划涉及多个参与者。 您将看到什么是新一代的合作伙伴游戏。



拥有网站或产品的商人参加游戏，并向合作伙伴支付用户点击，创建帐户，购买等的佣金。 他向合伙人支付某人访问他的网站的费用，单击该链接，转到您卖方的网站并在那里购买商品。

下一位玩家是一个合作伙伴，该合作伙伴以每次点击付款（CPC）或佣金（CPA）的形式收取款项，用于将买家重定向到卖家的网站。

佣金暗示，由于合作伙伴的活动，客户在卖方的网站上进行了购买。

买方是指进行购买或认购卖方股票的人。

会员网络提供的技术可以集成和跟踪卖方，合作伙伴和买方的活动。 他们将所有玩家“粘合”在一起并提供互动。

您可能需要几天或几周的时间来了解这一切的工作原理，但是并没有复杂的技术。 会员网络和会员计划涵盖所有类型的交易和所有市场。 谷歌，eBay，亚马逊都有他们，专员的利益相交，他们无处不在，而且收入也不缺乏。 我相信您知道，即使您博客中的访问量也能够每月产生数百美元的利润，所以这种方案对您来说很容易理解。



这是系统的工作方式。 您可以附属一个小型站点或一个电子公告板，不要紧，签署一个附属程序并获得一个放置在网页上的特殊链接。 她看起来像这样：

<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a> 

这是一个特定的会员计划，您的会员ID（在这种情况下为100）以及所售产品的名称。 如果有人单击此链接，浏览器会将其发送到会员网络，设置特殊的跟踪Cookie，并将其链接到会员ID = 100。

 Set-Cookie: AffiliateID=100 

并重定向到卖家页面。 如果稍后购买者在时间X（可能是天，小时，三周，任何约定的时间）内购买了某些产品，并且cookie一直存在，那么合作伙伴将收取佣金。

这就是计划的本质，这要归功于会员公司使用有效的SEO策略赚取数十亿美元。 我举一个例子。 下一张幻灯片显示了支票，现在我将其增加以向您显示金额。 这是Google寄来的13.2万美元的支票。 这位绅士的名字叫舒曼，他拥有一个广告网站网络。 这不是全部的钱，Google每月或每2个月支付一次。



另一张Google支票，我会增加这张支票，您会发现它的发行额为901,000美元。



我是否应该向某人询问这种赚钱方式的道德？ 大厅里无声。这张支票是2个月的付款，因为先前的支票由于付款太多而被收款人的银行拒绝。

因此，我们确保可以赚到这些钱，并支付了这笔钱。 你怎么能击败这个计划？ 我们可以使用一种称为Cookie填充的技术，即“为Cookie填充”。 这是一个非常简单的概念，出现在2001-2002年，此幻灯片显示了它在2002年的外观。我将向您介绍它的外观。



联盟网络令人讨厌的服务条件不过是要求用户真正单击链接，以便他的浏览器选择具有联盟ID的Cookie。
您可以自动将用户通常单击的该URL下载到图像源或iframe标签中。 此外，代替链接：

 <a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a> 

您加载此：

 <img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”> 

还是：

 <iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/” width=”0” height=”0”></iframe> 

当用户进入您的页面时，他将自动获取会员Cookie。 同时，无论他将来是否购买任何东西，无论是否重定向流量，您都将收到佣金-没关系。

在过去的几年中，这已成为SEO家伙的娱乐方式，他们在公告板上张贴类似的资料并开发各种脚本，并在其他地方张贴其链接。 积极的合作伙伴意识到，他们可以将代码发布到Internet上的任何地方，而不仅仅是在自己的网站上。

在这张幻灯片上，您看到他们有自己的Cookie填充程序，可以帮助用户填充“ Cookie”。 这不是一个cookie，您可以同时下载20-30个会员网络的标识符，一旦有人购买了商品，您就会获得报酬。

很快，这些家伙意识到他们可能不会将此代码发布在他们的页面上。 他们拒绝跨站点脚本编写，只是开始将带有HTML代码的小片段发布在留言板，留言簿和社交网络上。



到2005年左右，商家和联属网络发现了正在发生的情况，开始跟踪引荐来源和点击率，并开始将可疑的合作伙伴排除在外。 例如，他们注意到用户单击MySpace网站，但该网站与获得合法利益的网站属于完全不同的会员网络。

这些家伙变得更聪明了，在2007年出现了一种新的曲奇馅料。 合作伙伴开始将其代码放置在SSL页面上。 根据超文本传输​​协议RFC 2616，如果从安全协议迁移了引荐页，则客户端不应在不安全的HTTP请求中包括引荐标头字段。 这是因为您不想从您的域中泄漏此信息。

由此很明显，无法跟踪发送给合作伙伴的引荐来源，因此主要合作伙伴将看到一个空链接，因此将您踢出去。 现在，骗子有机会不受惩罚地制作“酿曲奇”。 的确，不是每个浏览器都允许您执行此操作，但是有许多其他方法可以执行此操作，即使用当前浏览器页面的元更新，元标记或JavaScript的自动更新。

在2008年，他们开始使用更强大的黑客工具，例如重新绑定攻击-DNS重新绑定，Gifar和恶意Flash内容，它们可能会彻底破坏现有的保护模型。 花些时间弄清楚如何使用它们，因为涉及cookie填充的人不是非常高级的黑客，他们只是激进的营销人员，他们不擅长编写代码。

出售半空信息

因此，我们研究了如何赚取6位数的金额，现在让我们继续学习7位数的金额。 我们需要大笔钱才能致富或死亡。 我们将研究如何通过出售半可用信息来赚钱。 几年前，美国商业资讯很受欢迎，但它仍然很重要，我们发现它在许多网站上都存在。 对于那些不知道的人-美国商业资讯提供的服务包括以下事实：该站点的注册用户会收到来自数千家公司的相关新闻稿。 新闻稿是由各个组织发送给该公司的，有时会被暂时禁止或禁运，因此这些新闻稿中的信息可能会影响股票的价值。

新闻稿文件已上载到Business Wire Web服务器，但在解除禁运之前不会链接。 一直以来，新闻发布网页都链接到主网站，并通过以下URL通知用户：

 http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htm 

因此，当您处于禁运状态时，您会在网站上发布有趣的数据，以便一旦解除禁运，用户便会立即熟悉它们。 这些链接带有日期并通过电子邮件发送给用户。 禁令到期后，该链接将起作用，并将把用户定向到发布相应新闻稿的网站。 在提供对新闻发布网页的访问之前，系统必须确保用户已合法登录系统。

他们不会检查您是否有权在禁运期限之前熟悉此信息，您只需要登录系统即可。 目前看来，这是无害的，但是如果您看不到任何东西，并不表示他不在那。



爱沙尼亚金融公司Lohmus Haavel＆Viisemann根本不是黑客，他们发现新闻发布的网页是以可预测的方式命名的，并开始猜测这些URL。 尽管由于禁运有效，链接可能还不存在，但这并不意味着黑客无法猜测文件名，因此可以过早地访问它。 该方法之所以有效，是因为唯一的Business Wire安全检查是用户合法登录，仅此而已。

因此，爱沙尼亚人在市场关闭之前就收到了信息，并出售了这些数据。 直到SEC跟踪并冻结他们的帐户，他们才通过交易半可用信息赚取了800万美元。 考虑一下这样一个事实，即这些家伙只是看着链接的外观，试图猜测URL并赚了800万。 通常，在这一点上，我问观众是合法的还是非法的，是否涉及贸易的概念。 但是现在我只想提请您注意谁做的。

在您尝试回答这些问题之前，我将向您展示下一张幻灯片。 这与在线欺诈没有直接关系。 一名乌克兰黑客入侵了商业情报提供商Thomson Financial，并在应计入金融市场的几个小时前偷走了IMS Health的财务困境。 毫无疑问，他犯了罪。



黑客下了一笔42,000美元的卖单，然后下了赌注。 对于乌克兰而言，这是一笔不小的数目，因此，黑客非常了解他的所作所为。 股价突然下跌使他在几个小时内获利30万美元。 该交易所发布了一个红旗，SEC冻结了资金，并指出出了点问题，调查开始了。 但是，法官纳奥米·里斯·布赫瓦尔德（Naomi Reis Buchwald）指出，应冻结资金，因为归因于多罗日科的“盗窃与贸易”和“黑客与贸易”不违反证券法。 黑客不是该公司的雇员，因此他没有违反任何关于披露机密财务信息的法律。

《泰晤士报》建议，美国司法部认为该案毫无根据，因为在获得乌克兰当局的同意以合作抓捕罪犯方面存在困难。 因此，该黑客很容易就获得了30万美元。

现在将其与之前的案例进行比较，当时人们仅通过更改浏览器中链接的URL并出售商业信息就可以赚钱。 这些很有趣，但不是在证券交易所赚钱的唯一方法。

考虑被动信息收集。 通常，在进行在线购买后，买方会收到订单的跟踪代码，该跟踪代码可以是顺序的也可以是伪顺序的，看起来像这样：

3200411
3200412
3200413

有了它，您可以跟踪您的订单。 渗透测试者或黑客尝试“滚动” URL以访问订单数据，通常包含个人信息（PII）：

 http://foo/order_tracking?id=3200415 http://foo/order_tracking?id=3200416 http://foo/order_tracking?id=3200417 

滚动浏览数字，他们可以访问信用卡号，地址，姓名和购买者的其他个人信息。 但是，我们对客户的个人信息不感兴趣，但是订单本身的跟踪代码对被动智能感兴趣。

得出结论的艺术

考虑“得出结论的艺术”。 如果您可以准确估计该季度末公司处理的“订单”数量，则可以根据历史数据得出其财务状况是否良好以及股票价值朝哪个方向波动的结论。 例如，您在本季度初订购或购买了东西，这没关系，然后在本季度末下了新订单。 通过数量上的差异，我们可以得出在这段时间内公司处理了多少订单。 如果我们谈论过去同一时期的十万个订单中的一千个订单，则可以假设该公司的事务很糟糕。

但是，事实是，通常可以在不实际执行一个或多个随后被取消的订单的情况下获得这些序列号。 我希望这些数字在任何情况下都不会显示，并且顺序将从数字继续：

3200418
3200419
3200420

因此，您知道您有机会跟踪订单，并且可以开始从他们提供给我们的网站上被动地收集信息。 我们不知道这是否合法，我们只知道可以做到。

因此，我们研究了业务逻辑的各种缺陷。

Trey Ford：攻击者是商人。 他们指望投资回报。 技术越多，代码越大，越复杂，您需要做的工作就越多，被捕获的可能性就越大。 但是，有许多非常有益的方法可以毫不费力地进行攻击。 业务逻辑是一项巨大的业务，犯罪分子有很大的动机去破坏它。 业务逻辑的缺点是犯罪分子的主要目标，而在质量保证过程中仅通过运行扫描或进行标准测试就无法检测到这一点。 质量检查质量保证中存在一个心理问题，被称为“确认观点的倾向”，因为与所有类型的人一样，我们想知道我们是对的。 因此，您需要在实际条件下进行测试。



必须测试所有内容，因为在开发阶段无法通过分析代码甚至在QA期间检测到所有漏洞。 因此，您需要遍历整个业务流程并制定所有保护措施。 历史上可以学到很多，因为随着时间的流逝，某些类型的攻击会不断重复。 如果您由于处理器上的峰值负载而在一夜之间醒来，那么您可以假定某些黑客再次尝试寻找有效的折扣券。 识别攻击类型的真正方法是观察主动攻击，因为基于日志历史记录识别攻击将是一项极其困难的任务。

杰里米·格罗斯曼：所以，这就是我们今天学到的东西。



猜测验证码可以为您带来四位数的美元金额。 操纵在线支付系统将为黑客带来五位数的利润。 黑客银行可以为您带来超过五位数的利润，尤其是如果您多次这样做。

电子商务欺诈会给您带来六位数的金钱，而使用会员网络会给您带来5-6位数甚至7位数的利润。 如果您足够勇敢，则可以尝试愚弄股票市场并获得超过七位数的利润。 在最佳吉娃娃比赛中使用RSnake方法简直是无价之宝！

此演示文稿的新幻灯片很可能没有出现在CD上，因此您以后可以从我的博客页面下载它们。 OPSEC会议定于9月举行，我将参加这次会议，我认为我们将能够与他们一起创造一些非常酷的东西。 现在，如果您有任何问题，我们已准备就绪。

一点广告：）

感谢您与我们在一起。 你喜欢我们的文章吗？ 想看更多有趣的资料吗？ 通过下订单或向您的朋友推荐来支持我们，开发人员的云VPS从4.99美元起 ， 为Habr用户提供30％的折扣，这是我们为您发明的入门级服务器的独特模拟： 关于VPS（KVM）E5-2650 v4的全部真相（6核心）10GB DDR4 240GB SSD 1Gbps from $ 20或如何共享服务器？ （RAID1和RAID10提供选件，最多24个内核和最大40GB DDR4）。

戴尔R730xd便宜2倍？ 只有我们有2台Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100电视在荷兰起价199美元 ！ 戴尔R420-2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB-$ 99起！ 阅读有关如何构建基础架构大厦的信息。 使用价格为9000欧元的Dell R730xd E5-2650 v4服务器的上等课程？