Рассматриваем популярную сегодня сферу фриланса на примере сервиса YOUDO. Реальные отзывы о сайте, регистрация по чужим документам и откровенный обман как со стороны злоумышленников, так и со стороны администрации сайта — приятного просмотра!
Спасем твой кошелёк и поможем разобраться в несправедливой ситуации.
По вопросам сотрудничества: advertising@naebnet.ru
Burp Suite — это интегрированная платформа, предназначенная для проведения аудита веб-приложения, как в ручном, так и в автоматических режимах. Содержит интуитивно понятный интерфейс со специально спроектированными табами, позволяющими улучшить и ускорить процесс атаки. Сам инструмент представляет из себя проксирующий механизм, перехватывающий и обрабатывающий все поступающие от браузера запросы. Имеется возможность установки сертификата burp для анализа https соединений.
Существуют две версии Burp Suite: Professional и Free. Хотя отличия по функционалу довольно существенны — Free версия является полноценным инструментом тестирования. Одно из главных отличий — отсутствие сканера в бесплатной версии и ограничение количества запросов за единицу времени. Также, в бесплатной версии отсутствуют встроенные пейлоады для интрудера.
Основной функционал основан на следующих модулях:
Proxy — перехватывающий прокси-сервер, работающий по протоколу HTTP(S) в режиме man-in-the-middle. Находясь между браузером и веб-приложением он позволит вам перехватывать, изучать и изменять трафик идущий в обоих направлениях.
Spider — паук или краулер, позволяющий вам в автоматическом режиме собирать информацию о об архитектуре веб-приложения.
Scanner — автоматический сканер уязвимостей (OWASP TOP 10 и т.д.) Доступен в Professional версии, в бесплатной версии только описание возможностей.
Intruder — утилита, позволяющая в автоматическом режиме производить атаки различного вида, такие как подбор пароля, перебор идентификаторов, фаззинг и так далее.
Repeater — утилита для модифицирования и повторной отправки отдельных HTTP-запросов и анализа ответов приложения.
Sequencer — утилита для анализа генерации случайных данных приложения, выявления алгоритма генерации, предиктивности данных.
Decoder — утилита для ручного или автоматического преобразования данных веб-приложения.
Comparer — утилита для выявления различий в данных.
Extender — расширения в BurpSuite. Можно добавлять как готовые из BApp store, так и собственной разработки. (На Pentestit Security Conference 2017 Кирилл Ермаков (CTO, QIWI) расскажет о новом плагине для выявления уязвимостей от Vulners).
С этим инструментом вы в полной мере можете заниматься тестированием безопасности компьютера, он идеально подходит для пентестинга.
Инструкция по Ettercap: атака человек-посередине (MitM), перехват паролей, обход HSTS, подмена данных на лету, использование пользовательских фильтров и плагинов, подцепление на BeEF, заражение бэкдорами
Многие юзеры не обращают внимания на оповещения в браузере, да в целом не обращают внимания на все оповещения. Ведь «Google нам ничего плохого не желает» или «Да у меня стоит антивирус и я в полной безопасности». Как же они заблуждаются… Искать по IP уже не нужно, даже не нужен доступ к геолокации, или встроенному GPS. Все происходит путем API. С помощью API геолокации можно узнать, в каком месте находится пользователь — конечно, всегда с его согласия, но почти все не обращают внимания на вспыльчивые окна.
API определяет функциональность, которую предоставляет программа (модуль, библиотека), при этом API позволяет абстрагироваться от того, как именно эта функциональность реализована.
Если программу (модуль, библиотеку) рассматривать как чёрный ящик, то API — это множество «ручек», которые доступны пользователю данного ящика и которые он может вертеть и дёргать.
Использование API не зависит от устройства; способ определения местоположения браузером не имеет значения, поскольку клиенты могут запрашивать и получать данные обычным способом.
Чтобы определить местоположение пользователя (телефона, как вам угодно), можно использовать несколько способов:
— по GPS. Способ наиболее точный. Из недостатков: относительно долгий старт, потребляет много энергии, не так уж много аппаратов с встроенным приемником.
— по вышкам оператора. Средний по точности. Энергии кушает немного. Из минусов: не на всех телефонах доступны данные.
— по IP. Наименее точный. Собственно это самый большой минус.
— по CB-сообщениям оператора
Способ совершенно не привязан к какой либо стране. Репозиторий на github под названием TrackUrl демонстративно показывает всю суть нахождения человека по его API. Создается специальная ссылка, которую если открыть появляется приблизительное местоположение с точностью до 50 метров.
В этом видео вы узнаете ответы на вопросы:
• изменение характеристик пк
• как изменить название процессора в диспетчере устройств
• как подделать характеристики компьютера
• как изменить информацию о компьютере
• как изменить характеристики ПК в свойствах системы
Вопросы «зачем» и «кому это надо» наверное глупо задавать. Тут либо повыпендриваться, показать, что у тебя «топ пк», либо обмануть (например с продажей). Речь в этом видео как раз таки шла о том как моего кореша пытались обмануть на такие фейковые характеристики. Один прекрасным днем мы нашли ноутбук по дешевой цене и с хорошим железом. Правда смещала цена: «Почему так дешево?».
Как выяснилось опытный владелец компьютера пытался выдать обычный старый комп за топовый, очистив систему и изменил её на фейковую конфигурацию.
Делается это либо через реестр, либо через софт. И вычислить обман можно тоже таким же методом — софтом. Можно либо зайти в биос и посмотреть характеристики, но если вы этого не умеете делать то воспользоваться программами aida64 и everest.
Всегда будьте бдительны при покупке компьютера или ноутбука с рук. Мало того, что на новых ноутбуках консультанты в магазинах бытовой техники умудряются на них майнить так и еще есть проблема с покупкой Б/У, могут обмануть на поддельное железо.
Переходите в мою Яндекс карточку, там я рекомендую вам, что интересного почитать, посмотреть и послушать: clck.ru/EsJ6Y
Там же задавайте мне вопросы, а я лично на них отвечу.
Ноутбукам и смартфонам мы доверили самое ценное, что у нас есть — информацию. Хакеры, пользуясь этим, подлавливают нас в почте, в адресной строке браузера, в магазине приложений и на пути к банкомату. Они создают фейковые мессенджеры, неотличимые от оригинала, собирают биометрию, чтобы подтверждать покупки, и строят из тысяч устройств личную армию зомби.
В этом видео мы поговорим про:
• Слежка ВКонтакте
• Слежка в Телеграме
• Как восстановить переписку в интернете
• Что такое GDPR
• Как просмотреть удаленные записи вконтакте
С мая 2018 года в ЕС действует протокол о защите персональных данных (General Data Protection Regulation, GDPR), согласно которому все жители Евросоюза могут запросить информацию о себе и своих данных у организаций которые ими владеют.
Моим глазам попалась информация про Кристиана Шинкевича. Парень был поражен тем, как много данных о нем сохраняет социальная сеть. Он выложил всю эту информацию в Facebook, чтобы другие могли узнать, что именно хранит соцсеть.
Хранению подвергается вся история привязки и отвязки телефонных номеров, восстановления паролей, а также все комментарии и публикации со стены, включая удаленные когда-либо. Кроме того, сохраняются изменения имени и фамилии на странице. Соцсеть хранит абсолютно всю переписку, включая удаленную, а также прямые ссылки на все файлы и голосовые сообщения, а также IP-адреса, с которых отправлялись и загружались файлы. Более того, хранятся даже адреса фотографий из открытых и закрытых альбомов.
После этого случая мы подали запрос согласно регламенту GDPR. Результат был на лицо — информация на серверах ВКонтакте хранилась с момента регистрации, т.е. с 2012 года. Хотя закон, который обязал всех провайдер, сотовых операторов, соц.сети хранить данные пользователей вступил в силу с 1 июля 2018 года, а первое обсуждение этого закона было в 2016. То есть за период с 2012 — 2018 год — 6 лет велась нелегальная слежка?
Что вы думаете по этому поводу, быть может я не прав и неправильно всё понял?