Robert Heaton is een software engineer bij Stripe. Deze post verscheen eerst op zijn eigen blog, waar hij schrijft over programmeren, technologie, cultuur en een aantal andere dingen. Hij heeft ook Twitter.De setup
Je bent verwikkeld in een titanische strijd van verlangen en kwajongensstreken met je goede vriend en aartsvijand, Steve Steveington. Vorige week ging hij alleen te ver, hij deed een aantal dingen met je World of Warcraft-karakter waar je liever niet over wil praten. Je bent nu officieel in oorlog.
Je moet hem weten te raken waar het meest pijn doet. Iets totaal vernietigen wat hij lief heeft. Je moet toegang zien te krijgen tot zijn Tinder account.
Het is nu vier uur 's middags. Jij en Steve Steveington trekken zich terug in zijn woonkamer. Hij is een broodje gaan maken, alleen heeft hij een fatale misstap gedaan door niet zijn computer te vergrendelen. Je hebt ontdekt dat je maar heel even met de Facebook-sessie op zijn laptop hoeft bezig te zijn om zijn Tinder account over te nemen op je eigen telefoon. Dit is de beste kans die je ooit gaat krijgen.
Je weet dat hij een groot fan is van pindakaas en banaan voor zijn namiddagsnack en dat je waarschijnlijk maar twee minuten de tijd hebt, misschien zelfs drie wanneer hij de pindakaas niet kan vinden die jij strategisch achter de mosterd hebt verstopt. Game on.
Je bent verwikkeld in een titanische strijd van verlangen en kwajongensstreken met je goede vriend en aartsvijand, Steve Steveington. Vorige week ging hij alleen te ver, hij deed een aantal dingen met je World of Warcraft-karakter waar je liever niet over wil praten. Je bent nu officieel in oorlog.
Je moet hem weten te raken waar het meest pijn doet. Iets totaal vernietigen wat hij lief heeft. Je moet toegang zien te krijgen tot zijn Tinder account.
Het is nu vier uur 's middags. Jij en Steve Steveington trekken zich terug in zijn woonkamer. Hij is een broodje gaan maken, alleen heeft hij een fatale misstap gedaan door niet zijn computer te vergrendelen. Je hebt ontdekt dat je maar heel even met de Facebook-sessie op zijn laptop hoeft bezig te zijn om zijn Tinder account over te nemen op je eigen telefoon. Dit is de beste kans die je ooit gaat krijgen.
Je weet dat hij een groot fan is van pindakaas en banaan voor zijn namiddagsnack en dat je waarschijnlijk maar twee minuten de tijd hebt, misschien zelfs drie wanneer hij de pindakaas niet kan vinden die jij strategisch achter de mosterd hebt verstopt. Game on.
Advertentie
Fase 1 – De cookies stelen
Je hebt dagen lang geoefend voor dit moment, maar zelfs drie minuten is niet genoeg om je volledige plan uit te voeren. Je blijft kalm. Je kunt van deze kleine mogelijkheid gebruik maken om zijn Facebook-sessie van zijn laptop op de jouwe te gooien, daarna ga je recht onder zijn neus verder met de volgende fase zonder dat hij zich ergens van bewust is.
Zijn Facebook-sessie zit in de cookies van de browser verstopt. Als je zijn facebook.com cookies te pakken krijgt, dan heb je ook zijn Facebook-sessie.
Je opent Chrome, gaat naar de developer console en gooit er wat Javascript in. Maar document.cookies geeft je slechts zes van de elf benodigde Facebook cookies. De andere vijf, die met de sessiedata die er echt toe doen, zijn gemarkeerd als httponly en zijn daardoor volledig ontoegankelijk met Javascript. De wijzers van de klok schrijden verder.
Je herinnert je dat Chrome zijn cookies opslaat in een sqlite3 database in ~/Library/Application\Support/Google/Chrome/Default/.Perfect.
Je hebt dagen lang geoefend voor dit moment, maar zelfs drie minuten is niet genoeg om je volledige plan uit te voeren. Je blijft kalm. Je kunt van deze kleine mogelijkheid gebruik maken om zijn Facebook-sessie van zijn laptop op de jouwe te gooien, daarna ga je recht onder zijn neus verder met de volgende fase zonder dat hij zich ergens van bewust is.
Zijn Facebook-sessie zit in de cookies van de browser verstopt. Als je zijn facebook.com cookies te pakken krijgt, dan heb je ook zijn Facebook-sessie.
Je opent Chrome, gaat naar de developer console en gooit er wat Javascript in. Maar document.cookies geeft je slechts zes van de elf benodigde Facebook cookies. De andere vijf, die met de sessiedata die er echt toe doen, zijn gemarkeerd als httponly en zijn daardoor volledig ontoegankelijk met Javascript. De wijzers van de klok schrijden verder.
Je herinnert je dat Chrome zijn cookies opslaat in een sqlite3 database in ~/Library/Application\Support/Google/Chrome/Default/.Perfect.
All images/screengrabs: Robert Heaton
Ze zijn versleuteld. Shit, een dood spoor. De klok tikt verder.
Je zou de Chrome Developer Tools kunnen gebruiken om een HTTP-verzoek naar facebook.com te inspecteren en op die manier te achterhalen welke cookies het bevat. Maar eerst herinner je een handige Chrome-extensie genaamd EditThisCookie. Deze extensie is in staat om cookies met ogenschijnlijke snelheid te importeren en exporteren. Chrome-extensies (worden in tegenstelling tot Javascript uitgevoerd via een webpagina) hebben toegang tot alle cookies zelfs degenen die als httponly gemarkeerd zijn.
Je zou de Chrome Developer Tools kunnen gebruiken om een HTTP-verzoek naar facebook.com te inspecteren en op die manier te achterhalen welke cookies het bevat. Maar eerst herinner je een handige Chrome-extensie genaamd EditThisCookie. Deze extensie is in staat om cookies met ogenschijnlijke snelheid te importeren en exporteren. Chrome-extensies (worden in tegenstelling tot Javascript uitgevoerd via een webpagina) hebben toegang tot alle cookies zelfs degenen die als httponly gemarkeerd zijn.
Advertentie
Je installeert het snel, drukt op "Export" en e-mailt jezelf de JSON reeks cookies:
Je de-installeert de extensie en verwijdert de browsergeschiedenis om argwaan te voorkomen. Start je laptop op, importeer de cookies en gebruik dezelfde extensie om vervolgens naar facebook.com te gaan. Steve Steveington's Facebook-account vormt zich op je beeldscherm. Yes, je hebt toegang. Zolang Steve niet uitlogt en zo je gedeelde sessie teniet doet is er niks aan de hand, fase 1 is voorbij.
Steve komt terug uit de keuken met een enorme sandwich in zijn hand. Maar het is te laat. Je bent binnen.Fase 2 – De proxy
Nu komt het lastige deel – het overzetten van een Facebook-sessie op de laptop naar een Tinder-sessie in de iPhone app. Je hebt wat tijd gewonnen met de hulp van het cookie=steel trucje. Je kan alleen maar tot god bidden dat het genoeg is.
Je download de gratis versie van Burp Suite Proxy. Je stelt het in; dit neemt niet meer dan een paar minuten in beslag. Je installeert het Burp Suite SSL-certificaat op je telefoon, stelt de proxy op je computer in en laat je telefoon er mee verbinden.
Het is tijd voor de Man-In-The-Middle. Je handen zweten, je verwijdert de Facebook-app op je telefoon om er zeker van te zijn dat het Facebook authenticatie proces via Safari loopt. Je logt je eigen Tinder-account uit. Sandra, 26 jaar, kan wachten. Dit niet.
Steve komt terug uit de keuken met een enorme sandwich in zijn hand. Maar het is te laat. Je bent binnen.Fase 2 – De proxy
Nu komt het lastige deel – het overzetten van een Facebook-sessie op de laptop naar een Tinder-sessie in de iPhone app. Je hebt wat tijd gewonnen met de hulp van het cookie=steel trucje. Je kan alleen maar tot god bidden dat het genoeg is.
Je download de gratis versie van Burp Suite Proxy. Je stelt het in; dit neemt niet meer dan een paar minuten in beslag. Je installeert het Burp Suite SSL-certificaat op je telefoon, stelt de proxy op je computer in en laat je telefoon er mee verbinden.
Het is tijd voor de Man-In-The-Middle. Je handen zweten, je verwijdert de Facebook-app op je telefoon om er zeker van te zijn dat het Facebook authenticatie proces via Safari loopt. Je logt je eigen Tinder-account uit. Sandra, 26 jaar, kan wachten. Dit niet.
Het Tinder-login scherm verschijnt. Je klikt op "Log In with Facebook", en je wordt naar de Facebook authenticatie pagina in Safari geleidt, Facebook is ingelogd als jou. Je legt je telefoon neer en springt over op je laptop.
Advertentie
Je opent Burp Suite en zoekt naar de log voor het HTTP GET verzoek van de auth pagina die nu op je telefoon staat. Je kopieert de URL naar de browser op je laptop, die is ingelogd op het Facebook-account van Steve Steveington via de gestolen cookie. Onwetend dat dit nergens op slaat, verschijnt het Facebook auth scherm waarbij Steve Steveington wordt gevraagd of hij Tinder-toestemming wil geven. Je weet dat hij dat absoluut niet wil. Je pauzeert en kijkt omhoog naar het met pindakaas besmeurde gezicht van je vriend. Je hebt samen zoveel meegemaakt. Maar nu is niet de tijd om sentimenteel te doen. Je drukt op OK.
Je gaat terug naar Burp Suite en zoekt het HTTP POST verzoek voor deze authenticatie. Je kopieert het HTTP antwoord in Evernote zodat je het later weer kan gebruiken.
Deze reeks tekst die slechts een paar kB groot is bevat een versleutelde auth token waarmee je in Steve's Tinder account kan komen. Je hoeft het nu alleen nog maar op je telefoon te droppen. De coup de grace.
Je zet de Burp Suite "Intercept" modus aan, dit vangt HTTP verzoeken en antwoorden voor je op en laat je ze inspecteren en bewerken voordat je ze naar de bestemming stuurt. Je keert terug naar het Facebook auth scherm op je telefoon, welke nog steeds is ingelogd op jou naam. Je drukt op "OK." Burp Suite onderschept het HTTP verzoek, maar je laat het onbewerkt door. Wanneer het antwoord terugkomt stop je.
Je zet de Burp Suite "Intercept" modus aan, dit vangt HTTP verzoeken en antwoorden voor je op en laat je ze inspecteren en bewerken voordat je ze naar de bestemming stuurt. Je keert terug naar het Facebook auth scherm op je telefoon, welke nog steeds is ingelogd op jou naam. Je drukt op "OK." Burp Suite onderschept het HTTP verzoek, maar je laat het onbewerkt door. Wanneer het antwoord terugkomt stop je.
Dit antwoord is een beetje ander een formaat dan de vorige. Het vertelt aan Safari om de controle en de versleutelde FB auth token door te sturen naar Tinder. Maar je wil niet dat jouw auth token wordt doorgegeven. Je wil dat hij Steve zijn token doorgeeft. Je opent Evernote en haalt het antwoord tevoorschijn van het identieke auth verzoek dat je eerder hebt gedaan met je laptop en Steve's Facebook-sessie. Je kopieert alles in dit antwoord van fb464891386855067 tot expires_in=6361. Vervolgens vervang je de corresponderende sectie in het antwoord dat nog in Burp Suite zit. Daarna verstuur je deze bewerkte reactie, met Steve zijn auth token erin verborgen, naar je telefoon.
Het lijkt een eeuwigheid te duren, de tijd staat even stil.
Maar dan verschijnt Steve Steveington's Tinder account voor je. Het is je gelukt. De tranen van geluk en opluchting stromen over je gezicht, je verandert al zijn foto's naar afbeeldingen van Gary Busey en begint al zijn matches te vertellen over zijn verschrikkelijke persoonlijke hygiëne.
Het lijkt een eeuwigheid te duren, de tijd staat even stil.
Maar dan verschijnt Steve Steveington's Tinder account voor je. Het is je gelukt. De tranen van geluk en opluchting stromen over je gezicht, je verandert al zijn foto's naar afbeeldingen van Gary Busey en begint al zijn matches te vertellen over zijn verschrikkelijke persoonlijke hygiëne.
Epiloog
Om redenen die de verteller van dit stuk niet heeft weten te behappen, maar na ongeveer 30-45 minuten nadat je toegang hebt gekregen tot Steve's Tinder account wordt er een GET verzoek naar facebook.com/v2,1/me?format=json&sdk=ios verstuurd met 400 en:
{"error":{"message":"Error validating access token: The session is invalid because the user logged out.","type":"OAuthException","code":190,"error_subcode":467}}
of
{"error":{"message":"An active access token must be used to query information about the current user.","type":"OAuthException","code":2500}}__
Tinder flipt vervolgens helemaal. Je weet alleen niet waarom.
Het blijkt ook dat Monica, 28 jaar, een groot fan van Lethal Weapon is. Zij en Steve hebben nu 2 kinderen en wonen in een appartement in San Jose.
Hergepubliceerd met toestemming van Robertheaton.com
Om redenen die de verteller van dit stuk niet heeft weten te behappen, maar na ongeveer 30-45 minuten nadat je toegang hebt gekregen tot Steve's Tinder account wordt er een GET verzoek naar facebook.com/v2,1/me?format=json&sdk=ios verstuurd met 400 en:
{"error":{"message":"Error validating access token: The session is invalid because the user logged out.","type":"OAuthException","code":190,"error_subcode":467}}
of
{"error":{"message":"An active access token must be used to query information about the current user.","type":"OAuthException","code":2500}}__
Tinder flipt vervolgens helemaal. Je weet alleen niet waarom.
Het blijkt ook dat Monica, 28 jaar, een groot fan van Lethal Weapon is. Zij en Steve hebben nu 2 kinderen en wonen in een appartement in San Jose.
Hergepubliceerd met toestemming van Robertheaton.com