Jump to content
ТУК НЕ СЕ ПРЕДЛАГАТ ХАКЕРСКИ УСЛУГИ ! ×

Градски транспорт


Recommended Posts

Наскоро ми се наложи да пътувам често с тролейбусните линии та изглежда хората са решили да ги модернизират малко та има такива електронни билетчета и се сканира QR кода от него като верификация та аз като го сканирах с моят телефон получих това нещо 4l637SY3K5SULT2BQKKL3RGRXQS3UVWUESSSNBM3LD6JCYYQAXPY2GI3QBAMAAVQ7PP236LTCQMOZXBSFH3QE2ZCPRDCKSRKW7/6FPGZ53DOWVWBGSLGKHJN7KJ2DAPNBI2. Което хал хабер си нямам какво трябва да означава но като любопитна душица не мога да не си задам въпроса как работи цялата система и има ли някъде слабости от които можем да се възползваме. Не съм сигурен дали тук е мястото на този пост но не знам къде да го сложа. Много ще се радвам ако някой може да ми помогне. :) 

Link to post
Share on other sites
Преди 18 часа, DrebniqV написа:

Наскоро ми се наложи да пътувам често с тролейбусните линии та изглежда хората са решили да ги модернизират малко та има такива електронни билетчета и се сканира QR кода от него като верификация та аз като го сканирах с моят телефон получих това нещо 4l637SY3K5SULT2BQKKL3RGRXQS3UVWUESSSNBM3LD6JCYYQAXPY2GI3QBAMAAVQ7PP236LTCQMOZXBSFH3QE2ZCPRDCKSRKW7/6FPGZ53DOWVWBGSLGKHJN7KJ2DAPNBI2. Което хал хабер си нямам какво трябва да означава но като любопитна душица не мога да не си задам въпроса как работи цялата система и има ли някъде слабости от които можем да се възползваме. Не съм сигурен дали тук е мястото на този пост но не знам къде да го сложа. Много ще се радвам ако някой може да ми помогне. :) 

Не се занимавай с глупости. Не ми се влиза в подробности, но няма да стане това което си намислил. :D :D :D 

Link to post
Share on other sites

Е ся да съм намислил нещо нищо не съм намислил интересно ми е просто как работи щото на самият билет пише че има срок от 40 и повече дни и от чисто любопитство просто исках да разбера как става номера като не ти се разказва недей на мен не ми е неубоходимо😄.

Link to post
Share on other sites

Ако си работил с баркод системи може и сам да си отговориш. Давам ти прост пример:

Генерира се един дълъг хеш (дали е произволен или не зависи от условията на договора или програмиста). Генерираш билет и в базата с данни запаметяваш хеша. Даваш му валидност 40 дни от създаването и след това маркираш хеша, като невалиден. Ти като потребител си купуваш генерирания билет. Решаваш, че трябва да го ползваш и го сканираш на някое от устройствата в градската мрежа. Проверява се хеша, който подаваш дали е валиден в периода, дали съществува, дали е ползван преди и за колко пътувания е предвиден. Ако е за едно пътуване и всичко е ок, хеша се деактивира но не се трие. При генериране на нов билет просто е необходимо новосъздадения хеш вече да не е бил създаден и ползван. Варианти за изпълнение на тази система има много. На практика дори да разбереш как се генерира хеша и да го пресъздадеш на твое устройство, то вероятността да уцелиш хеш, който е генериран и валиден по период е мноооого малка (зависи и как се генерира хеша и логиката че ако е последователен хеш на timestamp само е пропуск на програмиста :D ). Ако докопаш атуалната база вече е друга тема, но пак не смятам, че ще се възползваш от някоя слабост за да стигнеш до базата с данни. Да не говорим, че ако мине контролата и ти сканира кода то на терминала ще получи информация за това къде какво е правено с този QR Code.

  • Thanks 1
Link to post
Share on other sites

Не съм работил нито с кюар кодове нито с база данни просто как да кажа като хоби ми е и с знанията които имам или с помоща на гугъл и форуми се опитвам да си го обесня. Добре а може ли примерно да се инжектира код в кюара както се прави с xss. Така, че устройстовото да ни пусне. Това би било по лесен начин.

 

Link to post
Share on other sites
Преди 15 часа, DrebniqV написа:

Не съм работил нито с кюар кодове нито с база данни просто как да кажа като хоби ми е и с знанията които имам или с помоща на гугъл и форуми се опитвам да си го обесня. Добре а може ли примерно да се инжектира код в кюара както се прави с xss. Така, че устройстовото да ни пусне. Това би било по лесен начин.

 

Интересно.
Искаш да инжектираш код, но не си работил с бази данни. Знаеш какво е XSS ама не и SQLi. Нещо ми е малко  излишно обяснението, че искаш да го правиш хей така за спорта, а не за облага. Както и да е. 

Какъв код искаш да инжектираш? Какво според теб трябва да прави той?

Занимавал ли си се с кибер сигурност?
 

Link to post
Share on other sites

Аз съм ученик братле как се казва скрипт киддие знам само от тук от там и знам xss само като понятие нито знам защо става нито знам javascrip нищо не знам ама мерси иначе за комплимента 😅. Също ако може да се излъже машината която прави билетчетата има слабост ама наистина човек аз не виждам смисъл от властта и силата която знанието по киберсигурност ти дава ако не се използва за правене на добро. И просто гледам каквото мога да науча както мога да помогна ако открия слабост да я репортна(до сега не съм😔) . И наистина като се замисля за кода не знам какво трябва да прави нито на какъв език трябва да е.

Link to post
Share on other sites

За да направиш добро, трябва първо да го искаш. От мненията ти тук и в чата, по-скоро искаш да пътуваш безплатно. Въпреки, че на теория е възможно, то практически възможността да го направиш е нулева (поне ако това което казваш е истина и имаш само тези знания реално). 

Ако предложиш някакъв друг тип атака или проблем от социалната сфера (социално инженерство) водещ до манипулиране, то с удоволствие ще го предам от твое име на колегите. Ще черпят отново с биричка! 

  • Thanks 1
Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.