Исследуем безопасность сайта

Дело началось еще около года назад, когда я тренировался в поисках XSS на просторах отечественных сайтов. И, неожиданно для самого себя, нашел подобную вещь в строке поиска на упомянутом мною портале. Это, конечно, было удивительно - сайт не новый, довольно раскрученный, а тут такая досадная оплошность со стороны админа - XSS. Недолго думая, сформировал ядовитую ссылку, кинул в ЛС админу и модерам с приметкой об ошибке на сайте, и ушел пить чай. Вернувшись, увидел, что меня забанили, по IP, по нику и вообще как только можно :). В логах было пусто. Пока с горя пил вторую чашку чая, в логе появилась запись - 

  • Автор: makar
  • Комментарии: 0
  • Просмотры: 542

Базовые приемы скрытия айпи и шифрования трафика

Вот, решил опубликовать некоторые свои заметки, исследования на данную тему. Конечно, в интернете информации по данной теме много, но эта статья является некой попыткой "причесать" конкретно то, что нас интересует. 

Наверняка все вы видели впн-сервисы. А как насчет поднять что-то свое? В данной статье мы будем использовать операционную систему FreeBSD. Описывать процесс настройки я буду с нуля, и постараюсь довольно подробно все расписать. Все действия проводились на тестовой впске. Например здесь http://nqhost.com/freebsd-vps.html за 7 долларов в месяц можно заказать впс,

  • Автор: makar
  • Комментарии: 0
  • Просмотры: 450

Взлом Fant0m Crackmes №1,2,3,4

Всем добрового времени суток, с вами снова я, PsiBoX. 
Теперь я расскажу вам о взломе 4 крэкмисов от Фантома. (скачать их можно по ссылке в конце статьи). 

Эти крэкмисы предназначенны для новичков, только ступивших на нивы крекинга. 
Начав свой путь в этой области, я тоже взламывал их все. 
  • Автор: makar
  • Комментарии: 0
  • Просмотры: 398

Очередная статья о взломе компа с помощью Metasploit Framework

Всем доброго времени суток! Данную статью я посвящаю всеми известному фрэймворку Metasploit. Итак, преступим.   Скажу сразу, нам понадобится любая версия сканнера Nmap, ну и сам фрэймворк. Скачать который можно на сайте metasploit.com   На момент написания статьи в виндовой версии metasploit’а уже отсутствовал GUI интерфейс, что радует, а версия ядра была 3.4.1-dev.   В самом фрэймворке присутствует 552 эксплоита, чем мы и будем пользоваться.   Существует много разных способов взлома системы, и metasploit даёт нам возможность, не опираясь на какую-либо Ось, взламывать.   Мы уже установили Nmap и Metasploit, поэтому сразу запускаем msfconsole, которая в винде появилась на рабочем столе, впрочем можно запускать и из рабочей диры. Перед нами диалоговое

  • Автор: makar
  • Комментарии: 0
  • Просмотры: 805

Как подсматривать через веб камеру

Всем привет, в этой статье я хочу рассказать про то как можно настроить трансляцию видео/аудио с вашей вебкамеры. Где и как это использовать это уже ваше дело(можно например вставить на сайт), мне кажется весьма интересно иногда посмотреть что происходит в комнате где стоит наш дед к которому у нас уже есть доступ :) 1. Ставим VLC и создаем *.bat файл для запуска видео-аудио захвата   И так для начала установим vlc плеер: http://videolan.org/vlc/ После этого нам необходимо создать *.bat файл (назовем его start_vlc.bat)в котором и будем запускать vlc, ложим его в c:\windows\system32 команда для запуска видео/аудио захвата будет выглядеть так: Code: "C:\Program Files\VideoLAN\VLC\vlc.exe" -vvv --no-qt-notification --qt-start-minimized dshow://:dshow-vdev="твоя вебка" :dshow-adev="твой

  • Автор: makar
  • Комментарии: 0
  • Просмотры: 1239

Что делать, если вас поймали

пособие по защите своей свободы или каких сюрпризов стоит ожидать.   данная статья расскажет о том, с чем вы можете столкнуться, если нагрянут сотрудники отдела «к» или фсб. будьте уверены, если они пришли, то, скорее всего, не чаю попить.   на пороге… представьте такую ситуацию - на пороге вашего дома стоят агенты (обычно в гости они приходят рано утром). в этот момент, у них уже есть постановление суда на обыск и заведено уголовное дело, в котором вы проходите подозреваемым (или еще свидетелем). допустим, вы знаете наверняка, что за дверью не ваша любимая бабушка с пирожками, тогда первое чем следует заняться, это заметать следы и никак не реагировать на их звонки. однако времени у вас довольно мало. если агентам известно, что вы дома - долго они ждать не

  • Автор: makar
  • Комментарии: 0
  • Просмотры: 849

SQL инъекции

SQL инъекция — это один из самых доступных способов взлома сайта.
Суть таких инъекций – внедрение в данные (передаваемые через GET, POST запросы или значения Cookie) произвольного SQL кода. Если сайт уязвим и выполняет такие инъекции, то по сути есть возможность творить с БД (чаще всего это MySQL) что угодно. 

Как вычислить уязвимость, позволяющую внедрять SQL инъекции?
  • Автор: makar
  • Комментарии: 0
  • Просмотры: 626

Как взломать пароль к архиву

  Возможно ли мгновенно взломать пароль ARJ, ZIP, RAR и других архивов?  Нет, пароль архива не хранится в самом архиве, поэтому вы не можете его вытащить или изменить программу таким образом, чтобы пароль не запрашивался. Обычно архиваторы зашифровывают уже сжатый файл (а не сжимают зашифрованный) и сохраняют его контрольную сумму. Затем, при разархивации этот файл расшифровывается и контрольная сумма сверяется.  Как взломать пароль ZIP-архива?  Zip-архивы (pkzip, WinZip версии до 8.0) используют собственный алгоритм шифрования, который является очень нестойким. Это приводит к двум практическим уязвимостям. Во-первых, всегда можно осуществить атаку по открытому тексту (для этого нужен один незашифрованный файл из архива). Во-вторых, если архив создан WinZip или

  • Автор: makar
  • Комментарии: 0
  • Просмотры: 775

Обход фильтовки

Как Вы, наверное, уже поняли, XSS используется не только для вывода сообщений. В основном при XSS-атаке используется javascript. Большинство начинающих программистов очень боятся тега <script> и поэтому жёстко его фильтруют. 
Но кто сказал, что XSS можно провести только через тег <script>? Даже если он фильтруется, есть ещё целое море тегов, через которые можно провести XSS. 
Вот пример , который выводит сообщение “Я здесь был”:  alert(‘Я здесь был’)
  • Автор: makar
  • Комментарии: 0
  • Просмотры: 302

ХАКЕРСКИЕ СЕКРЕТЫ ПРОСТЫХ ВЕЩЕЙ

Подменяем данные в ViewState в ASP.NET Так получилось, что в Easy Hack мы ни разу не касались темы веб-приложений Microsoft. Настало время исправиться и вспомнить ряд проблем, типичных для ASP.NET. Хотелось бы еще упомянуть, что обычные уязвимости а-ля OWASP top 10 (SQLi, CSRF, XSS и прочие) свойственны и приложениям на этой платформе, но многие встроенные защитные механизмы работают, даже если веб-разработчик — мастер кривого кода. Для нас интересна специфичная фишка ASP.NET под названием ViewState. С ней же связаны и некоторые атаки. Технология эта относительно старая и достаточно распространенная. Но для ее правильного понимания необходимы неплохие познания в ASP.NET. Если очень упростить, то можно воспринимать ее как хранилище состояния данных для определенной страницы какого-то

  • Автор: administrator
  • Комментарии: 0
  • Просмотры: 1761
1 2 3 4 5 6 7 8 9 10 ... 16
Назад Вперед