Ответы пользователя по тегу Защита от взлома
  • Как быстрей всего проверить прокси сервера на работоспособность?

    DaNHell
    @DaNHell
    Change the world
    Socks4/5? http(s)?
    Вариант разделить по основным портам списки и отделбно чекать уже с указанием типа прокси
    Вариант 2: просто закинуть прочекать, подняв в идеале прокси судью на отдельном серваке если требуеться чек на аннонимность элитность
    Вообще 100к проксец минут 5 примерно чекать? Куда быстрее, а главное зачем?
    Ответ написан
  • Сколько могут зарабатывать пентестеры на фрилансе? Чем они занимаются?

    DaNHell
    @DaNHell
    Change the world
    По большей части все равно беремся за простые задачи по типу автоматизации.
    А так если чисто пентест - hackerone.com и другие
    По теневому рынку в среднем 500$ за БД
    Не напрягаясь спокойно 2000-3000$ в месяц есть
    Ответ написан
    2 комментария
  • Как, используя intercepter-ng, не менять MAC-адрес?

    DaNHell
    @DaNHell
    Change the world
    чито?
    чето бред несусветный
    изучите для начало основы технические..
    При проведении митм атаки в рамках локальной сети, как минимум участвует роутер или же без него но суть элементарна, сначало нужно пустить трафик через "себя"
    Для организации локальной сети используеться arp таблицы (cmd arp -a) наглядно.
    При митм мак адресс не меняеться, а проиходит арп спуфинг, в результате которого ваше устройство "прикидываеться роутером" принимая мак адресс который находиться в начале арп таблицы и зачастую являеться статичный.
    Если глянуть роутер даже, увидете что-то вроде клиент с XXX:XXX:MaC:ADRESS/ROUTER_Zyxel
    Простым языком просто встаете вперед роутера.
    При завершении арп спуфинга, роутер снова принимает свой мак адресс, ну а ваше устройство свой..
    Так что бред, и это основы.. стыдно не знать.. как вообще митм проводить без хотябы этих знаний, или получить куки/или по незащишенному http данные это для вас предел митм?)
    Ответ написан
  • Сканер уязвимостей CMS

    DaNHell
    @DaNHell
    Change the world
    Ну идеального нету ввиду кол-ва добавляющихся CVE
    https://github.com/Dionach/CMSmap
    Из последних, свою работу выполняет на ура.
    Конечно же без умений и знаний он будет бесполезен полностью)
    Ответ написан
    Комментировать
  • Надо ли сообщать о найденной уязвимости?

    DaNHell
    @DaNHell
    Change the world
    Хех) Ну начнем с того что "Волков бояться...".
    Если захотят - найдут, даже не отправив им report c Вашей стороны.
    Если все это делалось (как я полагаю - все-же попробовали пароль от админки?), с толком, и хотя-бы элементарным канальным шифрования подключения (смотря как еще взаимодействовали кроме ftp), а лучше в комплексе - аля vpn / vps / vds.
    Уж вряд ли думаю за баг репорт будут копаться...

    Используйте тикеты на сайте/сайтах (электронную почту лучше сразу отбросить), другие контактные данные с начальством: icq/ IM/ skype/ номер телефона (фри смс с сайта оператора).

    Ну и конечно если у них попахивает web dev'ом, то можно поискать Bug Tracking System, пускай даже будет только для team разрабов. Так сказать приятно удивите их )

    А так просто сообщите и не паранойте, забугром такие повадки оценивают и благодарят не только словом.
    В РФ же максимум - словом, и еще хорошо если добрым )) Но абузить Ваш IPшник никто не будет. По крайней мере серьезные компании..
    Да и с "обратной стороны" вопрос уже обсуждался
    Comments
    Ответ написан
  • Соотношение уникальных и повторяющихся символов в пароле, что лучше?

    DaNHell
    @DaNHell
    Change the world
    Думаю так смысл понятнее будет :3

    Сисадмин желал подобрать себе стойкий пароль для централизованной авторизации через radius-сервер. Он обратился за советом к Инь Фу Во.

    Как вы думаете, Учитель, пароль "史達林格勒戰役" стойкий?
    Нет, – ответил мастер Инь, – это словарный пароль.

    Но такого слова нет в словарях…
    «Словарный» означает, что это сочетание символов есть в wordlists, то есть «словарях» для перебора, которые подключаются к программам криптоанализа. Эти словари составляются из всех сочетаний символов, которые когда-либо встречались в Сети.

    А пароль «Pft,bcm» подойдёт?
    Вряд ли. Он тоже словарный.

    Но как же? Это же…
    Введи это сочетание в Гугле – и сам увидишь.

    Сисадмин защёлкал клавишами.
    О, да. Вы правы, Учитель.

    Через некоторое время Сисадмин воскликнул:
    Учитель, я подобрал хороший пароль, которого не может быть в словарях.
    Инь Фу Во кивнул.
    Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.
    Теперь есть...
    Ответ написан
    Комментировать
  • XSS: можно ли подгрузить картинкой что-то опасное?

    DaNHell
    @DaNHell
    Change the world
    Полнее некуда
    forum.antichat.ru/thread20140.html
    Ответ написан
    Комментировать
  • Как перехватить sms-сообщение с телефона?

    DaNHell
    @DaNHell
    Change the world
    С файлом можно через прокси сервер (если жертва подключиться по прокси серверу) перенаправляй трафик на файл. Ну тут больше СИ играет роль. Можно сделать приложение которое будет коннектиться к проксе поднятой и там уже снифать трафф, перенаправлять (банально - обновление браузера, и там твой файлик)

    Если андройд - поднять ботнет самое оптимальное, заставить скачать сборку и запустить. И будут и смс, и загрузки файлов и что угодно.
    Ответ написан
    Комментировать