Времена нашей молодости — Античат, Граббер, Асечка и Ко

Помню, как будто вчера, а на самом деле это было лет 10 назад. Тогда существовали такие форумы, как Античат, Граббер, Асечка, на которых тусили все Скрипт-Кидди Рунета. О, какие же это были времена. Как же там было весело!

Компьюнити на таких форумах собиралось буквально вокруг нескольких вещей — Шестизначные номера ICQ (как добыть такой номер легально, или неочень). Прокси — Где раздобыть бесплатно крутые Прокси-Листы, которые можно использовать в написанных на коленке брутерах (brute force program). Дедики — где найти бесплатные dedicated servers. И, пожалуй, ещё одна тема — как написать на Делфи (или C#) спаммер/граббер/бруттер/спаммер для вконтакте или icq.

На Античате (и аналогах, етественно) ещё очень часто любили поговорить за Взлом Веб-приложений. Ну, как взлом. Обычно это были либо XSS, либо SQL injection. Про CSRF тогда никто особо не говорил. Про что-то боеле хитрое — тем болие. Ведь люди там собирались, обычно, которые вообще не знали программирование, и, всё, что они могли сделать — это поставить ковычку в запросе, или запустить написанный кем-то сканнер уязвимостей.

Так вот. Представьте, что вам повезло, и вы нашли какую-то Активную XSS. Теперь вы хотите собрать Печенек (Cookie) cо всех людей, кто откроет зараженную страницу. Вроде бы понятно, что эта страничка должна отправить куда-то данные: нужен какой-то сервис, который будет слушать весь входящий HTTP-трафик, логировать его для вас. А потом вы зайдёте в личный кабинет, увидите кучу данных пользователей, и сможете поразвлекаться.

HTTP-сниффер — кажется, это то, что нужно в этом случае. Тогда, лет 10-13 назад, интернет просто кишил снифферами. По крайне мере, в Рунете. Была куча слабодумающих о своей безопастности людей, которая размешала на своих доменах такие сервисы. Они не думали, что это незаконное дело, и что нужно держаться этого, как можно дальше.

Времени изменились. Асечка и Граббер уже никому не известны. А люди — поумнели. Теперь в интернете просто пропали беслпатные online HTTP-снифферы. Хотя, я рад этому, ведь никто не пострадает из-за чужих дел.

Например, можно посмотреть на сервис https://github.com/Runscope/requestbin#readme. Ещё совсем недавно он предоставлял серфис логирования HTTP трафика. А сейчас — нет:

We have discontinued the publicly hosted version of RequestBin due to ongoing abuse that made it very difficult to keep the site up reliably. Please see instructions below for setting up your own self-hosted instance.

Сегодня мне позарез был нужен HTTP-сниффер для дебага одного из приложений. Я думал, что быстро найду такое решение (ведь я не знал, как сильно изменился интернет за последние 10 лет). Что же. Найти такое решение — ой как не просто. Я нашёл лишь один сервис — https://putsreq.com/. Это очень, очень крутое решение, которое, возможно, поможет вам отдебажть ваше приложение.

Что умеет PutsReq?

  • Принимать на выданный вам URL вида https://putsreq.com/swoznLdQ5X20zKf4B HTTP трафик и логировать его. Вы сможете увидеть данные вашего Request-запроса, а также Заголовки.
  • Генерировать Response для вашего запроса. Причём, ответ не статический. Вы можете описать некоторую логику, используя JavaScript.

Думаю, PutsReq — это очень нужная в хозяйстве вещь. Конечно, почти всегда вы сможете сами написать сервер на вашем любимом языке программирования, который будет логировать всё, что нужно. Но иногда нужно внешее решение, которое где-то хоститься. И в этом случае писать самому — не так просто, да и придётся заплатить скока-нибудь долларов за хостинг.

Категории: Программирование