Без різких рухів.

В даному циклі статей, я не планую розповідати вам про технічну сторону злому т. к. матеріалу присвяченого цій стороні справи просто море. Я хочу змусити працювати вашу фантазію, вашу логіку, і винищити стереотипне мислення аля id=-1. Але розмова про стериотипах, я відкладу до наступного статті так як ця тема занадто обьемна, щоб уміститися в урізанні, сьогодні ми поговоримо про фантазії і вашою логікою. Я думаю що на цій оптимістичній ноті можна переходити до самої суті.

І так у нас є, ресурс постійно піддається атакам, що саме по собі ускладнює завдання, сподіватися при стандартному мисленні можна хіба на пасивну хсс, движок не паблік, сусіди у сайту так само відсутні, кількість форм і параметрів зведено до мінімуму, і всі дані фільтруються, адміни стежать за оновленнями, тобто завдання як нам здається не здійсненна. Можна відступити і забути про цей ресурс, але це не по-чоловічому так і не солідно просто, адже ми серйозні люди і звикли добиватися свого.

Для початку давайте вивчимо копірайти, якщо знаходимо рядок, розроблено студією бла-бла корпоратион, ви вже точно вирішили що ми зараз просто витягнемо список клієнтів, і будемо сподіватися що один з них криво налаштований, або ж має кривих сусідів, разживемся движком і 70% завдання виконано, але немає клієнтів – мало, і всі вони налаштовані правильно, здається знову безнадія???

Не зовсім, перше, що потрібно зробити, це зі списку клієнтів, вибрати ресурс якої не обнавляеться, і остання новина залишена місяць два тому, для чого??? Все дуже просто, це буде компанія яка нам нібито порекомендувала студію-розробник рушія. Робимо лист виду:

Тема: Замовлення.
Текст:
Привіт, мені вас порекомендував Дмитро Сергійович з компанії (ресурс який не оновлювався).Я хотів би дізнатися у вас вартість робіт, які ви вказали компанії Дмитра, і які терміни для цього вам будуть потрібні. Наш бюджет 4000$ ви зможете укластися в нього?
З повагою
Васильків Андрій
Компанії ім’я нашої нібито компанії

Для тих хто не зрозумів, Дмитро Сергійович особа вигадане, навіщо, адже можна просто написати як новий клієнт. Можна, але тоді, поки ми не проплатим якісь гроші, нас сприймати всерйоз не будуть, в нашому випадку ми прийшли за рекомендацією колишніх клієнтів, тобто у нас вже є ліміт довіри. Грошима і нашої не впевненістю, ми направляємо потенційних виконавців, в потрібне нам русло. Далі після отримання відповіді, ми просимо щоб вони зв’язалися з наших тех. фахівцем, який буде доглядати за сайтом. З палаючими від жадібності очима, співробітники студії розробника, дадуть нашому тех. фахівця і помацати і помацати адмінку, а далі-далі вже справа техніки.
Таким чином помацавши адмінку, і завантаживши шелл можна розжитися потрібною нам движком, що збільшує наші шанси на злом на 80%.

Що ж робити якщо, є копірайт, але тільки власників сайту? І тут не все так безнадійно, як може здатися. Зараз вже давно немає, повністю самописні, движків розробники запозичують дуже і дуже багато, від зручної навігації, до цілих шматків коду. Тобто потрібно банально бути уважним до дрібниць, і ставитися до кожного ресурсу як твору мистецтва, і пам’ятайте, що найсерйозніші помилки лежать не в глибині, а на самій поверхні просто потрібно уважно дивитися. Використовуйте сканери директорій, адміни який би серйозний ресурс не був, такі ж люди як і ми, і роблять такі самі помилки. Не треба шукати помилки там де їх будуть шукати всі шукайте там де їх не подумає шукати ніхто. Про це мало хто знає, але в блогах на маил ру, дуже довго висіла активна хсс якщо добивить її в полі назва блогу.

З. И. Хотілося сказати більше, сподіваюся в подальших темах зумію розкрити тему так як цього хочеться мені.