Friend
Professional
- Messages
- 2,661
- Reaction score
- 868
- Points
- 113
Многие люди уже некоторое время просят меня предоставить больше руководств по использованию Burp. Поэтому я решил, что наконец-то сдамся и поделюсь знаниями об одном из самых мощных инструментов в вашем цифровом арсенале.
Burp — это универсальный инструмент с сотнями отличных функций, которые можно использовать не только для оценки сайтов — вы можете проверять уязвимости, находить скрытые конечные точки, манипулировать веб-трафиком и связываться с этими надоедливыми антифрод-системами, блокирующими ваши карты. Когда вы знаете, что делаете, возможности обширны.
Перехват запросов
Видите ли, когда вы просматриваете любой веб-сайт, происходит постоянный двусторонний разговор. Ваш браузер (фронтэнд) отправляет запросы на серверы веб-сайта (бэкэнд), которые их обрабатывают и отправляют обратно ответы. Это цифровой разговор, в котором ваш браузер запрашивает просмотр продуктов или совершение покупок, а сервер отвечает соответствующим образом.
Burp Suite вклинивается прямо в середину этого разговора в качестве прокси. Это цифровое подслушивание — вы видите каждый запрос, исходящий из вашего браузера, и каждый ответ, возвращающийся обратно. Что еще более важно, вы можете приостановить этот разговор, отредактировать то, что передается, а затем позволить ему продолжаться. Сервер не имеет ни малейшего понятия, что вы только что переписали сценарий.
Это важно, потому что при совершении покупок в Интернете ваш браузер не просто общается с основным сайтом. Он также отправляет данные в скрытые антифрод-системы (защиты от мошенничества), такие как Stripe Radar или Forter, которые анализируют, являетесь ли вы законным пользователем или мошенником, использующим бота. С помощью Burp вы можете перехватывать и манипулировать обоими типами трафика — основными запросами сайта и скрытыми антимошенническими обратными вызовами, происходящими за кулисами.
Обход требования CVV с помощью Intercept
Одним из распространенных применений Burp, особенно среди аутичных Binners, является принуждение сайтов принимать карты без CVV. Binners массово генерируют карты и проверяют их с помощью публичных чекеров, но большинство сайтов требуют CVV, поэтому Burp стал таким ценным инструментом.
Вот маленький грязный секрет: когда вы отправляете платежную информацию при оформлении заказа, ваш браузер отправляет POST-запрос, содержащий все данные вашей карты — номер, срок действия CVV и все остальное. Используя функцию Intercept Burp, вы можете перехватить этот запрос до того, как он достигнет сервера, и отредактировать его так, как захотите.
Хитрость заключается в том, чтобы либо полностью удалить поле CVV:
Или замените его пустым значением:
Если проверка бэкенда мерчанта — мусор (а вы удивитесь, сколько крупных ритейлеров облажались с этим), платеж все равно может пройти. Некоторые платежные шлюзы настраивают CVV как «необязательный», а не обязательный, а ленивые разработчики часто не обеспечивают надлежащую проверку. Я раньше видел магазины, где можно было даже подделывать и менять цены товаров, которые вы оформляете.
У других крупных ритейлеров есть похожие уязвимости, которые Binners использует для использования своих сгенерированных карт без каких-либо CVV-кодов.
Изменение антифрод-запроса
Теперь, когда вы понимаете основы перехвата, давайте углубимся. Мы все знаем, что современные системы защиты от мошенничества — хитрые скрипты. Они внедряют код JavaScript в страницы, которые вы просматриваете, молча собирая горы данных о вас. Эти скрипты отслеживают все, от конфигурации вашего устройства до того, как вы двигаете мышью.
Вот что обычно собирают эти скрипты:
Все эти данные упаковываются и отправляются на их серверы (например, m.stripe.com для конечных точек Stripe или forter.com), где системы искусственного интеллекта решают, являетесь ли вы законным или подозрительным лицом.
Эти системы знают, что их данные могут быть подделаны, поэтому они пытаются скрыть их от посторонних глаз. Они:
Но вот грязная правда: безопасность через неизвестность примерно так же эффективна, как тот 414720, который вы купили за 1 доллар. Эти системы должны отправлять данные в формате, который может обработать ваш браузер, что означает, что они доступны для использования, если вы знаете, где искать.
Практический пример: Riskified в Booking.com
Давайте запачкаем руки с Riskified, одной из самых известных систем предотвращения мошенничества, которая блокирует кардеров направо и налево. В отличие от некоторых неполных мер безопасности, эта на самом деле имеет некоторые зубы.
Сначала нам нужно настроить правила перехвата в Burp Suite:
Теперь просмотрите сайт, выберите рейс и попробуйте перейти на страницу оформления заказа. Скорее всего, сначала вы перейдете к:
После подключения здесь он загружает JS, необходимый для снятия отпечатков с вашей системы. Это не случайный сбор данных – это полный цифровой поиск полостей, который пытается отправить все о вас в:
c.riskified.com
Поскольку мы настроили перехват, отпечаток не будет отправлен на серверы Riskified. Если вы проверите панель журналов HTTP, вы увидите, что он пытается отправить запутанную полезную нагрузку, содержащую вашу цифровую ДНК:
Расшифровка
Сайты по борьбе с мошенничеством скрывают ваш отпечаток устройства, потому что если бы они этого не делали, подделка была бы детской забавой. Это как спрятать ключ от дома — конечно, он все еще там, но по крайней мере заставить вора потрудиться.
Расшифровка кода требует навыков, но это не ракетостроение. Вам просто нужно перепроектировать, как JS создал полезную нагрузку. Те из вас, чей IQ ниже 70, просто обратитесь к ИИ. И если вы чувствуете себя умником, думая, что это просто Base64 для Riskified (хотя многие из них просто используют кодировку Base64), это не так:
Но вы меня знаете, я люблю всех вас, поэтому для этой демонстрации я разработал инструмент, который поможет расшифровать отпечатки устройств из популярных антидетект-решений. Для этой демонстрации я включил Riskified, но скоро добавлю большинство антифрод-провайдеров.
БинХ - binx.cc
Чтобы упростить задачу, перейдите к инструменту деобфускации антифрода на BinX, выберите Riskified и вставьте нашу перехваченную полезную нагрузку.
После деобфускации данные ваших отпечатков устройств выглядят как открытая книга.
Затем вы можете внести стратегические изменения, чтобы повысить факторы доверия и соответствовать вашему целевому профилю:
О чем я тоже расскажу в будущем, но не должно быть так уж сложно узнать, что именно нужно изменить. Просто посмотрите на данные и используйте свой гигантский мозг.
После внесения изменений снова замаскируйте это дерьмо и замените полезную нагрузку на панели перехвата и ПЕРЕСЫЛАЙТЕ запрос.
Этот процесс связывает ваш сфабрикованный отпечаток устройства с вашим файлом cookie. Система думает, что вы просто еще один законный клиент, а не цифровой мошенник, которым вы на самом деле являетесь.
Заключение
Манипулирование антифрод-системами с помощью Burp Suite похоже на использование набора цифровой маскировки. Вы не просто меняете свой внешний вид — вы меняете то, что видят камеры безопасности. Размещая Burp между своим браузером и этими системами, вы можете скармливать им любые отпечатки устройств, которые хотите, даже не используя антидетект.
Успех зависит от понимания того, что именно собирают эти системы и как они это интерпретируют. Анализируйте свои журналы Burp, чтобы изучить запросы антифрода, прежде чем вмешиваться в них. Ищите закономерности в данных JSON. Чем больше вы понимаете, что они проверяют, тем точнее вы можете этим манипулировать.
Помните: эффективный цифровой обман заключается не в невидимости — он в том, чтобы выглядеть настолько обычно, что они никогда не подумают взглянуть дважды.
Помните, что мы едва коснулись поверхности того, что может Burp Suite. Этот зверь-инструмент имеет десятки модулей и сотни функций, которых я даже не коснулся — от автоматического сканирования до поиска уязвимостей SQLi и фаззинга конечных точек. Это сложный инструмент, который вознаграждает тех, кто тратит время на его освоение. Я расскажу о более продвинутых методах в будущих руководствах.
Всем кардерам добра и хорошего настроения. Скоро увидимся!
(c) Свяжитесь с автором здесь: d0ctrine
Burp — это универсальный инструмент с сотнями отличных функций, которые можно использовать не только для оценки сайтов — вы можете проверять уязвимости, находить скрытые конечные точки, манипулировать веб-трафиком и связываться с этими надоедливыми антифрод-системами, блокирующими ваши карты. Когда вы знаете, что делаете, возможности обширны.
Перехват запросов
Видите ли, когда вы просматриваете любой веб-сайт, происходит постоянный двусторонний разговор. Ваш браузер (фронтэнд) отправляет запросы на серверы веб-сайта (бэкэнд), которые их обрабатывают и отправляют обратно ответы. Это цифровой разговор, в котором ваш браузер запрашивает просмотр продуктов или совершение покупок, а сервер отвечает соответствующим образом.
Burp Suite вклинивается прямо в середину этого разговора в качестве прокси. Это цифровое подслушивание — вы видите каждый запрос, исходящий из вашего браузера, и каждый ответ, возвращающийся обратно. Что еще более важно, вы можете приостановить этот разговор, отредактировать то, что передается, а затем позволить ему продолжаться. Сервер не имеет ни малейшего понятия, что вы только что переписали сценарий.
Это важно, потому что при совершении покупок в Интернете ваш браузер не просто общается с основным сайтом. Он также отправляет данные в скрытые антифрод-системы (защиты от мошенничества), такие как Stripe Radar или Forter, которые анализируют, являетесь ли вы законным пользователем или мошенником, использующим бота. С помощью Burp вы можете перехватывать и манипулировать обоими типами трафика — основными запросами сайта и скрытыми антимошенническими обратными вызовами, происходящими за кулисами.
Обход требования CVV с помощью Intercept
Одним из распространенных применений Burp, особенно среди аутичных Binners, является принуждение сайтов принимать карты без CVV. Binners массово генерируют карты и проверяют их с помощью публичных чекеров, но большинство сайтов требуют CVV, поэтому Burp стал таким ценным инструментом.
Вот маленький грязный секрет: когда вы отправляете платежную информацию при оформлении заказа, ваш браузер отправляет POST-запрос, содержащий все данные вашей карты — номер, срок действия CVV и все остальное. Используя функцию Intercept Burp, вы можете перехватить этот запрос до того, как он достигнет сервера, и отредактировать его так, как захотите.
Хитрость заключается в том, чтобы либо полностью удалить поле CVV:
Code:
{"card_number":"4111111111111111","expiry":"12/25""billing_zip":"10001"}Или замените его пустым значением:
Code:
{"card_number":"4111111111111111","expiry":"12/25""cvv":"","billing_zip":"10001"}Если проверка бэкенда мерчанта — мусор (а вы удивитесь, сколько крупных ритейлеров облажались с этим), платеж все равно может пройти. Некоторые платежные шлюзы настраивают CVV как «необязательный», а не обязательный, а ленивые разработчики часто не обеспечивают надлежащую проверку. Я раньше видел магазины, где можно было даже подделывать и менять цены товаров, которые вы оформляете.
У других крупных ритейлеров есть похожие уязвимости, которые Binners использует для использования своих сгенерированных карт без каких-либо CVV-кодов.
Изменение антифрод-запроса
Теперь, когда вы понимаете основы перехвата, давайте углубимся. Мы все знаем, что современные системы защиты от мошенничества — хитрые скрипты. Они внедряют код JavaScript в страницы, которые вы просматриваете, молча собирая горы данных о вас. Эти скрипты отслеживают все, от конфигурации вашего устройства до того, как вы двигаете мышью.
Вот что обычно собирают эти скрипты:
- Отпечатки браузера (разрешение экрана пользовательского агента, установленные шрифты)
- Сведения об оборудовании (информация о графическом процессоре через ядра ЦП, обрабатывающие WebGL)
- Движения мыши и шаблоны щелчков (скорость, естественное дрожание по сравнению с траекториями, подобными ботам)
- Ритм набора текста (как быстро вы вводите данные, паузы между нажатиями клавиш)
- Используете ли вы headless-браузер или инструменты автоматизации (Selenium и т. д.)
Все эти данные упаковываются и отправляются на их серверы (например, m.stripe.com для конечных точек Stripe или forter.com), где системы искусственного интеллекта решают, являетесь ли вы законным или подозрительным лицом.
Эти системы знают, что их данные могут быть подделаны, поэтому они пытаются скрыть их от посторонних глаз. Они:
- Кодируют свои полезные данные в Base64
- Используют замену символов (например, заменяют a' на x' и наоборот)
- Скрывают свой код JavaScript
- Разделяют данные между несколькими запросами
- Используют пользовательские схемы кодирования
Но вот грязная правда: безопасность через неизвестность примерно так же эффективна, как тот 414720, который вы купили за 1 доллар. Эти системы должны отправлять данные в формате, который может обработать ваш браузер, что означает, что они доступны для использования, если вы знаете, где искать.
Практический пример: Riskified в Booking.com
Давайте запачкаем руки с Riskified, одной из самых известных систем предотвращения мошенничества, которая блокирует кардеров направо и налево. В отличие от некоторых неполных мер безопасности, эта на самом деле имеет некоторые зубы.
Сначала нам нужно настроить правила перехвата в Burp Suite:
- Перейдите в Proxy > Options > Intercept Client Requests
- Добавьте правило: AND доменное имя соответствует c.riskified.com
- Отключите перехват ответа
Теперь просмотрите сайт, выберите рейс и попробуйте перейти на страницу оформления заказа. Скорее всего, сначала вы перейдете к:
После подключения здесь он загружает JS, необходимый для снятия отпечатков с вашей системы. Это не случайный сбор данных – это полный цифровой поиск полостей, который пытается отправить все о вас в:
c.riskified.com
Поскольку мы настроили перехват, отпечаток не будет отправлен на серверы Riskified. Если вы проверите панель журналов HTTP, вы увидите, что он пытается отправить запутанную полезную нагрузку, содержащую вашу цифровую ДНК:
Расшифровка
Сайты по борьбе с мошенничеством скрывают ваш отпечаток устройства, потому что если бы они этого не делали, подделка была бы детской забавой. Это как спрятать ключ от дома — конечно, он все еще там, но по крайней мере заставить вора потрудиться.
Расшифровка кода требует навыков, но это не ракетостроение. Вам просто нужно перепроектировать, как JS создал полезную нагрузку. Те из вас, чей IQ ниже 70, просто обратитесь к ИИ. И если вы чувствуете себя умником, думая, что это просто Base64 для Riskified (хотя многие из них просто используют кодировку Base64), это не так:
Но вы меня знаете, я люблю всех вас, поэтому для этой демонстрации я разработал инструмент, который поможет расшифровать отпечатки устройств из популярных антидетект-решений. Для этой демонстрации я включил Riskified, но скоро добавлю большинство антифрод-провайдеров.
БинХ - binx.cc
Чтобы упростить задачу, перейдите к инструменту деобфускации антифрода на BinX, выберите Riskified и вставьте нашу перехваченную полезную нагрузку.
После деобфускации данные ваших отпечатков устройств выглядят как открытая книга.
Code:
{
"lat": 37.7749,
"timezone": 240,
"timestamp": "1689452187394",
"cart_id": "7629384105",
"shop_id": "cf.bstatic.com",
"referrer": "https://secure.booking.com/",
"href": "https://cf.bstatic.com/static/tag_container/tag_container/a077563c1795a773c91150dd19adefe98d13fd65.html",
"riskified_cookie": "p8jkl352qxnrtyuvcbm7fds9ghzwe6",
"color_depth": 24,
"page_id": "9xzp4r",
"shop": "www.booking.com",
"hardware_concurrency": 8,
"has_touch": true,
"history_length": 7,
"document_title": "Booking.com",
"console_error": "console.memory is undefined",
"battery_error": "Error getBattery()",
"initial_cookie_state_0": "https",
"initial_cookie_state_1": "persistent",
"browser": {
"productsub": "20030107",
"is_opr": true,
"is_firefox": false,
"ev_len": 42
},
"os": {
"cpu": "Windows NT 10.0",
"platform": "Win32"
},
"webgl": {
"vendor": "Google Inc.",
"renderer": "ANGLE (Intel, Intel(R) UHD Graphics 620, OpenGL 4.5)"
},
"resolution": {
"dpr": 1.5,
"screenh": 1080,
"screenw": 1920,
"availh": 1040,
"availw": 1920,
"innerh": 900,
"innerw": 1600,
"outerh": 1040,
"outerw": 1920
},
"date_string": "Fri Mar 25 2025 14:23:07 GMT-0400 (Eastern Daylight Time)",
"intl": {
"locale": "en-GB",
"num_sys": "latn",
"cal": "gregory",
"tz": "America/New_York"
},
"downlink_error": "navigator.connection is undefined",
"nav_plu": "Chrome PDF Plugin,Chrome PDF Viewer,Native Client",
"nav_lang": "en-GB",
"page_language_data": {
"page_language": "en",
"has_translation": true
},
"incognito": {
"safari": true,
"chrome_quota": 120,
"service_worker_undefined": false,
"is_brave": true
}
}Затем вы можете внести стратегические изменения, чтобы повысить факторы доверия и соответствовать вашему целевому профилю:
О чем я тоже расскажу в будущем, но не должно быть так уж сложно узнать, что именно нужно изменить. Просто посмотрите на данные и используйте свой гигантский мозг.
После внесения изменений снова замаскируйте это дерьмо и замените полезную нагрузку на панели перехвата и ПЕРЕСЫЛАЙТЕ запрос.
Этот процесс связывает ваш сфабрикованный отпечаток устройства с вашим файлом cookie. Система думает, что вы просто еще один законный клиент, а не цифровой мошенник, которым вы на самом деле являетесь.
Заключение
Манипулирование антифрод-системами с помощью Burp Suite похоже на использование набора цифровой маскировки. Вы не просто меняете свой внешний вид — вы меняете то, что видят камеры безопасности. Размещая Burp между своим браузером и этими системами, вы можете скармливать им любые отпечатки устройств, которые хотите, даже не используя антидетект.
Успех зависит от понимания того, что именно собирают эти системы и как они это интерпретируют. Анализируйте свои журналы Burp, чтобы изучить запросы антифрода, прежде чем вмешиваться в них. Ищите закономерности в данных JSON. Чем больше вы понимаете, что они проверяют, тем точнее вы можете этим манипулировать.
Помните: эффективный цифровой обман заключается не в невидимости — он в том, чтобы выглядеть настолько обычно, что они никогда не подумают взглянуть дважды.
Помните, что мы едва коснулись поверхности того, что может Burp Suite. Этот зверь-инструмент имеет десятки модулей и сотни функций, которых я даже не коснулся — от автоматического сканирования до поиска уязвимостей SQLi и фаззинга конечных точек. Это сложный инструмент, который вознаграждает тех, кто тратит время на его освоение. Я расскажу о более продвинутых методах в будущих руководствах.
Всем кардерам добра и хорошего настроения. Скоро увидимся!
(c) Свяжитесь с автором здесь: d0ctrine
