D2
Администратор
- Регистрация
- 19 Фев 2025
- Сообщения
- 4,380
- Реакции
- 0
Еще одна мини-статья о Бирже.
Я не хочу, чтобы она была последней, но, возможно, так оно и будет. Я продолжу тестирование, возможно, когда мне больше нечем будет заняться. Сервисы Best Change вкладывают только на обслуживание клиентов; разработка и безопасность даже не рассматриваются. Нет, я не говорю вам не стоит их использовать; я использую их сам. Но мы все должны принимать возможные риски.Отправка суммы
Итак, я подумал, что было бы забавно, если бы я мог изменить адрес, на который должны прийти деньги. Например, я введу свой собственный BTC-адрес и свой собственный USDT-адрес. Я буду платить своим BTC себе же, а биржа чекнув транзакцию ещё бабки на мой USDT оплатит. Это, вероятно, сработало бы, если бы система была полностью автоматизирована, но, как я понимаю, службы делают все это вручную.Изображение [1]
Как вы можете видеть в запросе выше, у нас есть "income_account", который на самом деле должен быть пустым. Позже адрес BTC будет добавлен автоматически. Вместо этого я решил добавить свой собственный BTC-адрес, поэтому я буду отправлять деньги сам себе, а затем "outcome_account" - это мой USDT-адрес, на который должны быть отправлены средства после того, как я произведу платеж на "income_account". Итак, по сути, я отправляю BTC самому себе, а Биржа автоматически отправит мне USDT.
Изображение [2]
Контакт
Я увидел контактную форму, в которой была функция загрузки файла. И то, что я загрузил, было сохранено на сервере, а затем отражено внутри тега "img" в атрибуте "src". Поэтому я подумал, что могу обойти это и выйти из атрибута "src", чтобы выполнить XSS, например. Это было отражено следующим образом<img src='http://local.local./filename.jpg'> и я решил заменить имя файла полезной нагрузкой.Изображение [3]
Изображение [4]
Изображение [5]
Изображение [6]