|
Originally Posted by sl4sh
++++
во-первых имхо не совсем корректно стоит вопрос, слитая бд с онлайн шопа ничего не даст, там же в мд5 хэши, и то если в cms шопа есть функция сохранения карты в профиле.
Второе, сниффер это громко сказано, это обычно скрипт под двиг шопа или под плагин мерча который встраевается в cms, работы на 20 минут накатать такое.
Ну и 3, слишком прямолинейно смотрите, поиск багов, хак и т.д., да есть кто именно так добывает бд, но таких единицы, большинство сс продаваемых в шопах со сниффинга, получают следующим образом:
1) определяемся со стартом - либо ты владелец ботнета и у тебя есть много логов, либо ты владелец бд email+pass(чаще всего, так как купить такое легко)
2) если логи - парситься на акки в хостингах, если бд - брутяться акки.
3) дальше пишем чекер под наши хостинги, чтобы выдергивал со страницы домены и чекал их на PR.
4) После уже поиск ручками, ну а дальше сами понимаете у вас доступ к хостингу.
5) Популярный вопрос, а как же двухфакторка? - до сих пор есть множество хостеров у которых 2FA по желаению, даже у гоудэдди ее ввели только пару месяцев назад в обязательном порядке, но и тут не все так плохо ведь 2FA есть по мылу.
Ну и на последок предположительный вопрос по теме и ответ:
Ну ладно, ну если дампы бд не кажут сс, откуда тогда сс которые не со сниффа в шопах, не с логов же?
--- до сих пор есть мерчанты которые предоставляют пользователям акки в свой storage где сс храняться в открытом виде, названия таких мерчантов я называть не буду, по понятным причинам, почему они так делают до сих пор, у меня есть предположения, но честно говоря я незнаю, но это факт, и там можно посмотреть все сс которые прошли через твой шоп за все время. И в логах акки попадаються от них довольно таки часто, т.к. мерчены эти популярные.
|