แงะระบบ SMS ส่งรหัส เป็น ส่งข้อความ

ความจริงวันนี้ประมาณช่วงบ่ายๆ ผมต้องไป ธรรมศาสตร์ เพื่อขึ้นทะเบียนเป็นนักศึกษา ที่ถูกต้อง 55+ แต่ เห็นว่า ยังไม่ถึงเวลา ก็เลยลองมาแงะระบบเล่นๆ อีกตามเคย ซึ่งระบบที่โชคร้ายในวันนี้คือ ระบบ SMS ส่งรหัส ของโครงการ V-Star

ส่วนสาเหตุที่เลือกระบบนี้ เพราะดันไปเจอใน google ตอนค้นหา ชื่อของผมเอง (ถือว่าเป็นความซวยของระบบนี้แล้วกัน) -*- ว่าแล้วมาดูกันเลยดีกว่า ว่าผมไปซนอะไรบ้าง


คำเตือน : ถ้าคุณจะนำวิธีการในบทความนี้ไปใช้สำหรับการแฮกหรือทำลายระบบคอมพิวเตอร์อย่างมีเจตนาร้ายและผิดกฏหมาย คุณต้องเป็นผู้รับผิดชอบสิ่งที่จะเกิดขึ้น ในฐานะผู้เขียนและบุคคลที่เกี่ยวข้องกับบทความนี้ จะไม่มีส่วนร่วมรับผิดชอบในการกระทำหรืออาชญากรรมที่คุณได้ก่อขึ้นโดยใช้วิธีและเครื่องมือที่ได้เขียนไว้ในบทความ เพราะบทความนี้มีเจตนาเพียงประการเดียวสำหรับผู้ที่สนใจในด้านความปลอดภัยของระบบ ที่ประสงค์จะป้องกันระบบเพื่อไม่ให้ตกเป็นเหยื่อของผู้ไม่หวังดีซึ่งทุกวันนี้มีจำนวนเพิ่มมากขึ้น เท่านั้น

หากจะจับขโมยให้ได้ ต้องคิดให้เหมือนขโมย แต่อย่าทำในสิ่งที่ขโมยจะทำ เพราะนั้น คือ ความผิด


เริ่มแรกครับก็อย่างที่บอกไว้ข้างต้นแล้ว ดันไปเจอหน้านี้ใน google โดยไม่ได้ตั้งใจแต่อย่างใด

หลังจากนั้นก็คลิกเข้าไปในเว็บดังกล่าวนั้นก็คือ

http://vstar.kru.in.th/school_fund_condition.asp?CODE=120016&N1=1&S02=True&S03=True

ปัจจุบันเว็บไซต์นี้ได้ปิดช่องโหว่ และยกเลิกบริการนี้เป็นที่เรียบร้อยแล้ว นอกจากนี้ยังมีการติดต่อกลับมาจากผู้ดูแลระบบคนใหม่ของที่นั้นเพื่อขอคำแนะนำจากผม ในฐานะผู้เขียนบทความ ผมรู้สึกดีใจเป็นที่สุดที่เห็นทุกคนตระหนักในปัญหานี้ (อัพเดตข้อมูล 2/6/2555)

ในนั้นมันโชว์เบอร์ของผมคือ 0830606280 (ไม่ต้องโทรมานะครับ เบอร์นั้นเลิกใช้นานแล้ว)
ส่วนใครอยากได้เบอร์ปัจจุบันนั้นไปหาแถวๆ 7-11 หรือตามร้านขายยาทั่วไปได้ครับ 55+

ที่นี้ ให้ลองสังเกตข้างล่างของหน้าเว็บไซต์นั้นครับ

หากท่านไม่ทราบรหัสผ่าน

บริการแบบง่ายๆ แค่กด [ ส่งรหัส ] เราจะส่งรหัสผ่าน (รหัสโรงเรียนทางก้าวหน้า) ไปที่มือถือของผู้ประสานงานโครงการในโรงเรียนท่าน เมื่อได้รับแล้ว ให้กรอกรหัสโรงเรียนทางก้าวหน้า ลงในช่องด้านบนเพื่อยืนยันรับทุน

หากท่านทราบรหัสโรงเรียนทางก้าวหน้าอยู่แล้ว ไม่ต้องกด [ ส่งรหัส ] ก็ได้ ให้ใส่รหัสได้เลยครับ

เห็นข้อความนี้แล้ว ผมฮ่ามากๆเลยครับ คิดดูนะถ้าผมเป็นคนเลว จะทำอะไรบ้าง

1.กดปุ่ม ส่งรหัส เล่นๆประมาณ 1 พันครั้งต่อวัน -*- ดูสิ บิลค่า SMS จะยาวเป็นหางว่าวไหม
2.ถ้าผมอยากรู้รหัสผ่าน ก็คงไม่ใช่เรื่องยาก ที่ผมจะได้มา แค่แงะๆ โค้ดแปปเดียวก็ได้แล้ว

แต่สิ่งที่ตามมาในข้อ 2 คือ ……

แล้วผมจะทำยังไงให้มันส่งรหัสผ่านมาที่เครื่องโทรศัพท์ของผม ทั้งๆที่ตัวผมนั้นไม่ใช่ผู้ประสานงานโครงการแต่อย่างใด

ผมหมั่นใส้กดปุ่มส่งรหัสดังกล่าวครับ เพื่อดูว่ามัน Action Form ไปที่ไหน แล้วคำตอบที่ผมได้คือ

สังเกต URL บน Address bar ดูสิครับ มันถูกพัฒนามาจาก ASP

http://vstar.kru.in.th/sendsms.asp?SCHCODE=120016&m1=0819108383&m2=0830606280

แล้วถ้าสังเกตให้ดีๆ เราก็จะได้อะไรดีๆ กลับมาครับ 555+

SCHCODE=120016&m1=0819108383&m2=0830606280

จากการเดาของผม

SCHCODE=120016 น่าจะเป็น รหัสผ่าน ที่จะได้รับ

ส่วน m1=0819108383&m2=0830606280 น่าจะเป็น เบอร์โทรของคนที่ 1 และ 2 แน่เลย

เอาล่ะ จะเกิดอะไรขึ้น ถ้าผมเปลี่ยนเป็น

http://vstar.kru.in.th/sendsms.asp?SCHCODE=120016&m1=0835463061

555+ เห็นความบรรลัยยังครับ แล้วมันดันใช้ได้จริงอีก -*-

ข้อความวิ่งเข้าเครื่องโทรศัพท์ผมทันทีหลังจากเข้าไปด้วย URL ลิงค์ที่ผมแก้ไขดังกล่าว

ทีนี้ ผมก้ได้รับข้อความจาก V-Star แล้ว ซึ่งข้อความที่ได้คือ

รหัสผ่านสำหรับยืนยันใน www.kru.ac.th ของ ร.ร.คุณคือ 120016

เอาแล้วไง เห็น 120016 ไหมครับ ถ้าผมทะลึ่งเปลี่ยน Url เป็นดังนี้ล่ะครับ

http://vstar.kru.in.th/sendsms.asp?SCHCODE=ทดสอบการส่ง SMS&m1=0835463061

555+ บรรลัยหนักกว่าเก่าอีก -*- เพราะมันดันใช้งานได้จริงๆ

ข้อความวิ่งเข้าเครื่องโทรศัพท์ผมทันทีหลังจากกดลิงค์ดังกล่าว (รอบ 2 -*-)

รหัสผ่านสำหรับยืนยันใน www.kru.ac.th ของ ร.ร.คุณคือ ทดสอบการส่ง SMS

ฮ่าแตกครับ งานนี้ ได้รหัสผ่านมาแบบฟรีๆไม่ว่า ยังส่ง SMS ข้อความฟรีๆอีก

งานนี้ สงสัย ผู้ดูแลระบบของที่นั้น คงเมาระหว่างการเขียนระบบนี้ขึ้นมามั้ง

วิธีการแก้ไขพัฒนาระบบการส่ง sms ผ่านหน้าเว็บไซต์

1. ไม่ควรส่งข้อมูลด้วย GET ควรส่งข้อมูลด้วย POST

2. ตรวจสอบค่า input ต่างๆให้ดี ก่อนการส่ง sms ทุกครั้ง เช่น อาจจะตั้งเงื่อนไขรับเฉพาะตัวเลข เท่านั้น

3. ควรตั้ง limit การส่งคำร้อง จากการตรวจสอบหมายเลขไอพีที่ร้องขอ เพื่อป้องกันการ spam sms เป็นต้น

4. ถ้าคิดจะทำระบบอะไรที่สำคัญ ไม่ควรให้บุคคลทั่วไปสามารถเข้าถึงได้ อาจจะสร้างระบบพิสูจน์ตัวตนก่อนการใช้งาน

5. เวลาทำระบบอะไร อย่าดื่มสุรา หรือ ดูหนุ่มๆสาวๆ จนละเลยเรื่องเล็กๆ อะไรบางอย่างไป ฮ่าๆๆๆ

—————————————–

สุดท้ายฝากข้อคิดนิดนึงครับ

การแฮกนั้นคุณไม่จำเป็นจะต้องมีทักษะทางด้านคอมพิวเตอร์อะไรมากมายหรอกครับ ไม่จำเป็นจะต้องเรียนจบคอมพิวเตอร์ เพียงแค่คุณเป็นคนช่างสังเกต กล้าคิด กล้าทำ มองในสิ่งที่คนอื่นคาดไม่ถึง และมีคุณธรรม จริยธรรมด้วยนะครับ เพียงเท่านี้คุณก็อาจจะสามารถเป็นแฮกเกอร์ที่องค์กรบริษัทใหญ่ๆต้องเกรงกลัวคุณหรือต้องการตัวคุณไปร่วมงานก็เป็นได้

1 Comment

  1. TSingularity Reply

    😈 😈 😈 😈 5555555555 สุดยอดอ่ะพี่   🙂 🙂 มันเป็นความรู้ที่ปนตลกขบขันด้วยอ่ะ  😀 จะติดตามต่อไปนะค่ะ

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.