Hacking o descuido?


Hace poco hice la publicación de un concurso, se llama Ponle estilo a tu vida , para ganar había que tener muchas visitas a la página que le daban a uno, al comienzo intente publicar el link donde más pudiera, decirle a mis amigos que me ayudaran publicandolo en su Facebook, Msn, etc. ya que el sitio valida que las visitas sean contadas una sola vez por equipo, hasta me metia en los chats de sexo para enviarle el link a otras personas, con todo esto logré conseguir como 80 visitas 😦

Hasta que ví un link en youtube, donde alguién tenia casi 655000, una cifra imposible de alcanzar en 10 días, por lo tanto pensé que había un método para lograr muchas visitas.

Lo primero fue intentar engañar al sitio para la verificación de la IP, o de cómo hacía el sitio para saber que ese equipo ya había entrado al sitio, intente cambiando la IP pero no, en fin me dí por vencido por este método, así que recurrí a ver qué información estaba enviando de mi Pc al servidor, de pronto en esa información enviaba algún identificador de mi equipo.

Con Firefox descargue Live Http Headers , luego ingrese a la página y obtuve los datos:

Al analizar las peticiones que se hacen, vi una muy curiosa:

Se hace una llamada a una función llamada traerVotos, cuando copie esta URL en un navegador, me trajo la cantidad de visitas que tenía, esto me dio una idea de que estaban haciendo las cosas con Javascript, por lo que me puse a buscar que Javascript era el que tenía esta función y que hacía.

En la ventana del Live Http Header, hay una pestaña “Generador” que trae los request que se hacen, ahí se listan los javascript que son descargados:

Me pareció curioso el archivo utilities.js, copie la URL en un navegador y me mostro todos las funciones que se usan, entre esas encontré la de traerVotos, pero arriba de esta se encontraba una que se llama “actualizarVotos” :), por lo tanto desde Javascript también se podía actualizar los votos saltandonos la validación del equipo, así que modifique la URL de traer votos y llamaba la función actualizarVotos:

Al actualizarse vi que las visitas se aumentaban :S, para no ponerme a estar oprimiendo F5 cada rato use una aplicación que estresara la página y hiciera peticiones automáticas,  la idea no era sobrecargar el servidor ni mucho menos, simplemente ver que sucedía si tenía tantas visitas, ganaría o no?.

Ahora qué como me di cuenta que otros estaban usando este truco?, fue porque ya antes había visto en youtube algunos links los cuales tenían 150000 o más visitas, esto era algo extraño, así que decidi volver a usar la función traerVotos.

Cree una aplicación en C#, para que obtuviera los votos de todos los usuarios, pero solo guarde los que tenían más de 1000 visitas, Para sorpresa encontré cifras imposibles:

Bien, esto lo hice no por falta de ética y ganarme el concurso por trampa, lo hice más por curiosidad y “estudio”, ya que aprendí que se pueden obtener las peticiones fácilmente de una página (a menos que esta página corra bajo https), al parecer los que desarrollaron el concurso o la página tuvieron un “pequeño” descuido en la seguridad de la página.

Ahora si quieren ganar, solo usen una aplicación que estrese o haga peticiones automáticas al servidor, lo dejan corriendo en la noche y al otro día tendrán miles de visitas :P.

Anuncios

12 pensamientos en “Hacking o descuido?

  1. Muy Bueno El Ejercicio, Ing Martin,
    ya puedo dormir tranquilo, pues quería saber cómo fue que logro hacer el truco, yo publique mis votos más los suyos para que no perdieran más el tiempo en algunas páginas donde muchos buscábamos visitas, y metiéndome en todas las maquinas que podía, de la U, CafesInternet, y poniendo a hacer click a mis 200 contactos en : Facebook, Messenger, Yahoo, etc, Voy en 500, para conseguir “Visitas”, este fue un experimento genial, y la verdad no me interesa el premio “Solo Un poquito”, me tenía este concurso preguntándole a mis profes de telemática como hacer para saber de las peticiones de http, pero su explicación es muy clara.
    Gracias Por Compartirlo!!

    “Por Ultimo un Spam”, si tiene tiempo y me apoya 3 minutos maximo con un voto en slideshare para un concurso mejor Tu Mejor Idea” Office Beta 2010.
    http://slidesha.re/5Td1I5
    chao.

  2. Gracias por compartir esta informacion, me quitó esa duda que tenia.

    Me gustaria que compartieras tu aplicación en C#, ya vi todo lo que pude con el plugin de Firefox, solo ve faltaria tu aplicacion para que la clase este completa 😀

    Gracias!

    • Claro, aunque la aplicación fue sencilla, solo un for que fuera llamando la función traerVotos, te paso el código:
      Int32 count = 0;
      Int32 visitas = 0;
      for (count = 16000; count > 0; count–)
      {
      String Url = String.Format(“http://www.ponleestiloatuvida.com/index.php?opcion=pp&a=traerVotos&id_usuario={0}”, count);
      using (WebClient cliente = new WebClient())
      {
      String visitas2 = cliente.DownloadString(Url);
      if (visitas2.Length > 8 ) // hay Id que no estan asignados, por lo tanto no retorna nada
      {
      visitas = Convert.ToInt32(visitas2.Substring(0, visitas2.IndexOf(“Visitas”)));
      if (visitas > 1000)
      {
      listBox1.Items.Add(“User_id: ” + count + ” visitas: ” + visitas);
      }
      }
      }
      }

  3. hola, estoy mirando lo de saltar el sistema de validación de este concurso http://yoinvocolanoche.myadn.info/ , porque resulta que la que va primera esa tal sara la estan votando con algo parecido a lo que comentas le suben los votos de 20 en 20… me podrias echar una mano para ver si se puede ver algo? esque parece que el sistema sea el mismo. gracias!

    • Hola, estuve viendo la página y es muy diferente el sistema, ya que la validación se hace en un archivo php5 y así se envien los parámetros una y otra vez, no se aumentan los votos, puede ser que la validación la haga con la Ip, prueba cambiando de IPs para aumentar los votos

  4. Buenas, me ha parecido interesantísimo este artículo. Estoy intentando aumentar una votación de un concurso ya que el que va primero, al igual que lo que has descrito en tu artículo, me parece que la cifra de votos que lleva no es normal. El concurso es el siguiente: http://mtvtunning.com.s110-70.furanet.com/videos y mi novia y yo hemos hecho un video para concursar. Veo que no vamos a tener votos suficientes ya que hemos empezado tarde y queda una semana para que se cierren las votaciones. He estado intentándolo cambiando ip, con tor, vidalia y ahora con live http headers pero no doy con la tecla… si pudieras echarme una manilla te lo agradecería. El video al que quiero aumentarle los votos es este: http://mtvtunning.com.s110-70.furanet.com/ver/841#841
    Quisiera entender mejor la solución.
    Gracias

  5. que onda amigo eh seguido tu trabajo y estoy en una similar situacion estoy en un concurso de facebook y tambien usa javascript. logre descargar el java script que contiene las funciones y note que la funcion que utiliza es VOTE observe varias lines y creo q es posible engañar al servidor como lo hiciste tu igual e observado que utiliza el id del usuario y una ves que se vota ya no puedo hasta el otro dia y eso viene expreso en varias lineas solo quisiera saber si el programa que hiciste me sirve a mi si quieres te paso el java script necesito ayuda porque como en tu caso otra gente esta igual haciendo trampa y e estado un buen tiempo e invitando amigl y es imposible tener 1500 en solo 2 dias es imposible te pido tu ayuda espero puedas ayudarme un saludo y gracias aqui dejo mi correo joaquin_luv@hotmail.com

Deseas comentar o sugerir algo?

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s