آسیبپذیری sqli در فروشگاه اپل آیدی
سلام دوستان امیدوارم حالتون خوب باشه.
من فرشاد هستم و این اولین رایتاپ من هستش اگه کم و کسری داره به بزرگی خودتون ببخشید.
سطح رایتاپ : ساده
بریم سر اصل مطلب
موضوع آسیبپذیری sqli در فروشگاه اپل آیدی هستش.
من بیشتر وقتها خودم اپل ایدی میسازم و بعضی از دوستام میان و خرید میکنن.
یکی از همین دوستان یک سایت بهم معرفی کرد که از این سایت معروف و بزرگ ما خرید کنیم ولی من مخالف بودم با این کار.
کلا اپل ایدی کارتی رو قبول نداشتم.
گفتم بزار سایتش رو از نظر امنیتی تست کنم. رفتم و روی یک اپل ایدی امریکا کلیک کردم.
من رو هدایت کرد به صفحه خرید که مشخصات میخواست.
روی تمام قسمتها کار کردم به جز قسمت اخر که مربوط به کد تخفیف بود.
بعد از کلی کار کردن روی بخش های دیگه گفتم بزار یه کوتیشن هم بزنم روی قسمت تخفیف سنگ مفت گنجشک هم مفت 😆
اینجا جالب شد. 😈
بعد زدن کوتیشن در قسمت تخفیف به این خطا برخوردم.

به این صورت خطا داد سریع رفتم سراغ ابزار محبوب یعنی burp suite.
و شروع کردم به تست کدها و بایپسها
به چند تا یوزر و پسورد بر خورد کردم که مهم نبود، مستقیم خواستم برم سر اصل کاری، یعنی تمام اپل ایدیهایی که داره.
چه اونهایی که هنوز نفروخته و جدید هستن چه اونهایی که قبلا فروخته.
چون پروسه کرک زمان بر بود و اینطوری میشد مستقیم به دیتا دست پیدا کرد.

تمام فکر و ذکرم شده بود بانتی که میخوان بدن.
بعد از یک ساعت و چک کردن همه موارد بالاخره به 15 هزار اپل ایدی دست پیدا کردم.
و موضوع رو با مدیر سایت مطرح کردم. گفت با این شماره توی واتساپ پیام بدید.
از طریق این اطلاعات من توانایی این رو داشتم که وارد حساب کاربری اون افراد بشم و به بخشی از گالری و دادههای ذخیره شده اونها دسترسی داشته باشم که شامل تصاویر شخصی هم میشد.
ازم فیلم خواست برای اثبات این شد که بعد از چند ماه از روی فیلم اسکرین گرفتم و حتی الان که دارم رایتاپ رو مینویسم از روی همون فیلم چند تا اسکرین گرفتم.

به این صورت
ولی متاسفانه با گذشت زمان نسبتا زیاد و ارسال ویدیو مبلغ 6 میلیون به من بانتی دادن.
که خیلی حالم رو گرفت و بعد از اون وقت گذاشتم روی سایتهای مشابه و چند تا بانتی دیگه هم گرفتم.

بعد از صحبت کردم رفتم توی تلگرام ویدیو رو براشون ارسال کردم.
و بعد اومدن مبلغ رو برام واریز کردن….
توی حوزه باگ بانتی باید صبر داشته باشید سریع از این سایت به اون سایت نرید، روی یک سایت کار کنید حتی گاهی وقتها ممکنه یک هفته زمان صرف بشه . خودتون رو به روز کنید و همیشه و همیشه دست از تلاش برندارید.
اینکه یک سایت تعداد زیادی روش کار کردن دیگه باگ نداره اشتباه من بارها و بارها این قضیه رو تست کردم و نتیجه گرفتم.
اگر به هک و باگ بانتی علاقه داری بهتره صفحه کلوپ امنیت رو حتما ببینی.

