Leaderboard

Първото нещо за което се сещам в случая е, че кода вероятно е правилен, но е за по-стара версия на PHP. Тоест хостинга е обновил версията на PHP и това е повлияло на сайта. Това е грешка, която идва след проблем с mysql_query(), функция част от библиотеката за mysql_*, която след версия PHP 5.5.0 e deprecated. Вероятно казуса е такъв, че няма конекция с базата данни.

От това което си постнал изглежда че това е грешка в PHP кода, но скрииншота ти е оскъден. Без да видим дали манипулираш параметри можем само да гадаем дали е exploitable или не.

реда for i in range(2, len(data), 2): result += int(hex(data[i-1]),16)* int(hex(data[i]),16) трябва да е : for i in range(1, len(data), 1): result += int(hex(data[i-1]),16)* int(hex(data[i]),16) иначе дава грешен резултат. Проверено😀 Благодаря за насоката!

hackthebox.eu

https://cloud.mail.ru/public/sBgt/3kZWoE44R

Имам бегла представа какво се опитваш да направиш дори с оскъдните ти обяснения. Не мога да разбера точно какъв е проблема с питона, може би това че питон 2.7 вече не е съпортед. Има и нещо друго, на evilginx2 му трябва публично ИП за да може да си вземе сертификата. Трябва ти компютър със статично ИП, например нещо в облака. Иначе Lets Encrypt не може да ти създаде сертифика. Прочети за ACME protocol. Калито поне има всички депенденсита, но все пак за да вземеш сертификат ти трябва публично статично ИП. Ако си вземеш някои нает сървър с ssh може да направиш remote port forwarding за да си чземеш сертификат на локалната машина, например: ssh -R 443:localhost:10443 root@remotehost_ip така ще можеш да накараш certbot да ти издаде сертификат за локалната машина ! дефаутния SSH не разрешава такъв вид пренасочване, затова ще трябва да направиш промяна в sudo vim /etc/ssh/sshd_config да добавиш GatewayPort yes и да рестартираш SSH.

Объркала си мястото. Ключ.

Заради маймуницата ли не разбираш какво ти пиша? Изпълни: `apt-cache policy`, `uname -a` и `cat /etc/issues`, да видим какво пише вътре. От въздуха как да ти направя трабълшуут??? Кажи каква ти е точно системата, какво имап инсталирано и т.н.?

izpolvash nqkakva specialna debian distribuciq - Parrot?! Tova ne e production ready, i ne znam kakvo tochno i ima. No spored men greshkata oznachava che nemoje da nameri tova repository ppa:certbot/certbot. Ne sym siguren kakvo se opitvash da napravish na taq Parrot distribuciq. Trqbva da ti vidim apt policy `apt-cache policy` I pogledni tazi statiq che ne trqbva da se nauchish kak da pitash vaprosi: https://stackoverflow.com/help/how-to-ask

Трябва ти CERTBOT, ето тук са всички инструкции: https://certbot.eff.org/instructions

Първи наброски на идеята на memwarrior: Tествано на Windows, iOS, Android и Linux. Работи тихо и кротко. Като малка отверка е. Чекира се какво искаме да обработим (да шифроваме или да затрием безвъзмездно) и всичко друго е автоматично. Може да си избираме Cipher и Hash, но salt и Cipher IV системата си генерира сама. Приложение за семейни, за да не вижда жената какви са ги вършили. Още веднъж благодарности на memwarrior.

tova si izpusnal, `data` ne e inicializrana promenliva v tvoq sluchai. Preda da pochnesh da chupish sistemi na red napravi edin byrz kurs po python nqkyde.

Аватара, бихте ли описали идеята си за курс по-подробно. Аз проявявам интерес. Ако е чрез постове под формата на лекции и практически упражнения аз бих се включил. За конферентни разговори се съмнявам, че ще успея да организирам време..

Кажи какво си чел до сега че да видим как да надградим. Като за начало ти трябва някакво базово ниво на програмиране. Трябва да можеш да четеш код.

Тук повечео сме несериозни. По-младите са напушени, но не и надъхани, а по-старите сме амортизирани. Като се замисля ... Повечето тук се събираме на раздумка.

Здравейте, Днес ще поговорим за нещо, което би могло да представлява интерес за мнозина, а именно: FPS и Linux Независимо,. че FPS е приложение за работа в средата на Windows, то прекрасно работи и под Linux. Как се случва това? За да може да работив в средата на Linux e нужно първоначално да се запознаем с Windows Subsystem for Linux или WSL. МОже да намерите целия проект на следния адрес: https://github.com/microsoft/WSL2-Linux-Kernel По подразбиране може да ползвате: kali-linux Ubuntu SLES-15 ubuntu2 Ubuntu-18.04 но ако имате желание и прочетете внимателно техническата документация на практика няма да имате ограничения. Най-важно е обаче да чекирате Windows Subsystem for Linux (да включите) в списъка с компоненти, които Windows 10 използва. По подразбиране той е изключен. Има и още една особенност. Тези които са работили с BS Ping, знаят че там има модул за работа с конзолни команди. Във всички версии на FPS по-високи от FE, също има такъв модул. В различните версии той е с различна функционалност, но базовите функции са общи. Когато работите с Linux се ползва командата BASH. Дистрибутивa по подразбиране може да променяте посредством командата wsl или wslconfig (например wslconfig /setdefault ubuntu). Но конзолата предоставя и редица други предимства. След като NSA се намесиха и Microsoft внесоха корекциите в Crypto API (за този проблем писах и цитирах официалния бюлетин на NSA) можете спокойно да използвате и този примитив. Тук обаче са нужни сериозни познания и опит, защото на практика процесите не са автоматизирани. В този ред на мисли, преди време споменах, че не е зле да се направи on-line курс за защита на информацията. Нискя, че в момента това е по-актуално от когато и да било. Какво ми дава основание да мисля така? Преди всичко това е липсата на конкретика. За съжаление, често потребителите не правят разлика между шифър, криптиране и защита на информацията. За да ме разберете: Шифърът е алгоритъм или по дефиниция "криптопримитив"; Криптирането е процес. При този процес се използват шифровъчни агрегати, които са изградени от ктиптопримитиви (шифър, хеш-функция, шифровъчен механизъм, делти, инициализиращ вектор и пр.); Защитата на информацията е комплексно мероприятие, което включва и криптиране на данни. И точно тук идва най-забавния момент, който е свързан с използването на английски език. Ако спазваме стандартите и утвърдените правила за криптоанализ трябва да бъдем много внимателни как използваме английските термини. В редица случаи дословният превод ще доведе до деформиране на информацията. Ето един показателен пример: Пример: Cryptographic Key - Секретен ключ ENU - Дефиниция в съответствие с NIST Special Publication 800-38A и ISO/IEC 9797-1:2011 A parameter used in the block cipher algorithm that determines the forward cipher operation and the inverse cipher operation. BG - Превод в съответствие с NIST Special Publication 800-38A и ISO/IEC 9797-1:2011 Секретна информация, използвана в криптографските алгоритми в процесите на криптиране и декриптиране на информацията. Криптографския ключ може да бъде използван и като елемент от проверката на електронния подпис, както и в случаите на използване на Мessage Аuthentication Code (MAC). При използване на един и същи шифровъчен алгоритъм, който може да бъде достъпен от криптоанализатора, резултатът ще зависи основно от секретния ключ. Защо избрах точно този пример? Защото в английският текст липсва информация за Мessage Аuthentication Code (MAC), тъй като тя се подразбира. В българският текст обаче тази информация е изискуема и има задължителен характер. Както сами може да се убедите от легалните дефиниции Мessage Аuthentication Code (MAC) и Cryptographic Key са различни неща, Но още по важно е да се разбере, че Мessage Аuthentication Code (MAC) се използва при текстови съобщения. Когато обаче става дума за бинари данни, където информацията не е записана в текстови вид, нещата са доста различни. Това е само един от хилядите подобни примери. Лично за мен е много важно да се познават стандартите. Те са тези в които се съдържа достоверна информация и е добре да ги ползваме. Но наистине е време да помислим за малък курс по защита на информацията.

Сега разбрах същността на въпроса. Ами всеки иска елитна нинджа в екипа, а как се измерва това - с резултати. Аз като отворя linkedin и виждам: Не е като да няма възножност за работа. Но готов ли си при полужение че нямаш професионален опит със секюрити (<1година) да започнеш на 1000лв заплата - преди данъци. Аз започнах на по-малко от това преди 8г. Но тъй като се занимавах с нещо което ми харесва, малката заплата не ми тежеше. Моя опит по този път ми докарваше почти двойно увеличение на заплатата всяка година: г1 - 800лв./м г2 - 1600лв./м г3 - 2600лв./м г4 - 4000лв./м .... .... естествно това не означава че в момент правя 30к на месец, но се надявам че хвана идеята. Според мен ставаш специалист след 100 успешно завършени проекта а експерт след 300. Като трябва да си избираш компании които оценяват секюрити а не го имат просто за compliance. Защо? за да може да инвестират постоянно в твоето обучение, за да може да имат елитна нинджа.

Здравей и много благодаря за препоръките. Password Based Key Derivation Function е включен. Има го във всички версии. Използва се при т.н. "контролни низове" (Control String). Има го в системните настройки. Ползва леко изменен алгоритъм но по принцип си е едно и също. Ето как изглежда на практика: БЕЗ ПАРОЛА: С АВТОМАТИЧНО ГЕНЕРИРАНА ПАРОЛА (НО МОЖЕ И РЪЧНО ДА СЕ ВЪВЕДЕ 1111, ПРИМЕРНО) Разликите са в Hash Digest, Secret key, Salt Data и Cipher IV. Но все пак key derivation function си зависи от избраната хеш-функция. Това няма как да се избегне при този примитив. Знаеш ли, че ти си първия, който засяга темата? Генерацията на секретни ключове и механизмът на шифроване са си цяла наука, а не сме го обсъждали. А е добре да го правим Що се отнася GCM и това го има, но е само за системите, които ползват AED. Да, но е добре да се ползва и за шифровъчни системи, които ползват блокове с размер различен от размер 128 bit. При FPS изглежда ето така (това е междинно решение): БЛОКОВ ШИФЪР С РАЗМЕР НА БЛОКА 128 BIT (IDEA PGP) БЛОКОВ ШИФЪР С РАЗМЕР НА БЛОКА 512 BIT (RC-4) Това е малко по-добро решение, защото на практика отпада ограничението с размера на блока. Просто в полето Cipher mode се задава класческото CTR, а другото ще се случи автоматично. Има и още нещо ... FPS не е шифровъчна система. На практика може използвайки криптографски примитиви (шифровъчни алгоритми, хеш-функции, делти, инициализиращи вектори, генератори а случайни числа и пр.) може да се създават всякакви шифровъчни системи. Да го кажем просто ... FPS е конструктор на шифровъчни системи. Ползваш примитивите. Комбинираш. Тестваш. Настройки. Параметри. Контрол на процесите. Ентропия. Дифузия. Информационен излишък. Ефективност и пр. Ако всичко е както трябва имаме шифровъчната система която ни трябва. Записваме и ползваме. Това си е направо цял нов раздел. Много благодаря, че повдигна тези въпроси. Има и още ... Външните обекти. Там вече е много забавно. Това е съвсем различен криптограяфски примитив и тук определено аутентефикацията се извършва по много различна логика. При това имаме не един а цял списък секретни ключове, при това уникални не само в рамките на сесията. А тук генерираме делти. На практика от една цифрова фотография, ако прилагаме различни филтри можем да генерираме неограничен брой уникални делти, а това дава допълнителна надеждност. Идеята е тези неща да не се правят ръчно, а колкото е възможно да ги автоматизираме. Както казваше един познат: "На Assembler може да направим всичко, но живота е кратък.". Още веднъж много благодаря за препоръките и за отношението по темата. Определено има какво да дискутираме.

Уффф... одавна несъм се включвал... да давам извратен акъл... хе хе ... шегувам се... При генерация на PASSWORD, SALT или IV може да се включи и подръжка на RFC2898 стандарт. Така нареченото PBKDF (Password Based Key Derivation Function) като задължително да има избор при настройката - избор на хешираща функция, защо не и симетрично кодиране. В .NET фреймуърка е що годе универсално направена. - Брой итерации а, и между другото в "Cipher mode" не видях GCM (Galois/Counter Mode) - доста е модерно.

По-скоро въпроса е не с какво искам а къде има работа, като погледнеш jobs-а и става ясно, че няма почти хляб за нищо свързано със security, освен Information Security. Иначе съм се занимавал със web app testing, минах малко през мрежите, ама най си ме влече събирането на информация research. Някак ако има повече възможности за работа ще е супер, ама уви никой не желае да наеме човек който има желание да се учи и има опит но не особено голям. Масово искат по няколко години стаж, сертификати, бъбрек и малко от белия дроб. Пс: някой ако знае къде търсят хора които да работят в тази сфера дори и със малко заплащане да свирка.

Скромно!

Едното няма нищо общо с другото. JavaScript е език за програмиране и се изпълнява в браузъра на потребителя, докато SQLi е вид атака към базата данни, която се управлява от сървърната част на сайта. Това, че имаш достъп до някаква визуализация, не значи, че хакваш нея. Прочети какво е JavaScript Form Validation. Ще разбереш, че тя се прави при теб в твоя браузър и не е проблем д абъде избегната. Виж за сървърната валидация трябва да научиш що е то релативна база с данни и как се управлява. Няма да е зле да погледнеш и езиците PHP и SQL.

Хакни форума, да те видим дали си добър!

Поредните филмирани но-лайфъри. Не се доверявайте на подобни малоумщини, ако питате мен.

Моля да ме извините, но днес ми се наложи да поспоря с колега по болезнената тена с кой език какво се прави. Случайно си спомних, че в демонстрационният пакет на Rad Studio имa един доста забавен пример, касаещ REST технологиите (да не се чудите защо толкова упорито пиша за това как се прави REST-сървър). Примерът има НЕПОСРЕДСТВЕНО отношение към темата и не само. Държа да подчертая, че това не е пример "как се разбива" нещо, а е пример "КАК ДА НАПРАВИМ ПРИЛОЖЕНИЕ ЗА FASEBOOK". Мисля, че съм пределно ясен. Това по никакъв начин не нарушава никакви законови разпоредби и целта не е да събира каквито и да било данни за потребителите. Ако имате някакви въпроси по темата, направете официално запитване до Embarcadero. Примерът не е мой.

Тъй като и ти си оскъден в информацията относно проблема, такъв ще бъда и аз : https://www.linux.com/learn/how-rescue-non-booting-grub-2-linux

@Avatara P.S. Pulse, ти срама нямай, че не разбираш всякогиш какво глаголя. Срамно е ако откажеш да пиеш ако сме седнали на маса. то ако не пия на маса къде другаде ще пия

Pulse, Признавам, че се смях от сърце. Да. Използвам специфичен речник и повярвай правя го съвсем целенасочено. От малък мама ме е учила да съм предпазлив в изказа на обществени места, а с възрастта това се превърна в параноя. От боя който съм изял през годините ще да е. Да ме прощаваш, но аз на жена, политик и синоптик вяра нямам, а май и повечето тук. Но да се върнем на темата ... Не е липса на желание, а предпазливост. Ако имам бели коси те са от женски капризи и европейски закони. От двете нищо добро не съм видял. Бе как това девойче не поиска да научи нещо разумно като да си скрие International Mobile Equipment Identity (IMEI) на мобилния телефон или как да обърне същият (нищо, че е на Android, който си е чист Linux) на мобилен сървър (та да даде и на други да вкусят от благините на виртуалното) или пък да вземе се научи да изпраща поща от анонимен адрес, та да не я виждат кога ругателствува във Facebook (суратлътефтер по нашенски), а се захвана да влиза баш през cpanel-a на хорицата, питам? Нечисти мисли съзирам тук. На туй моме или ще да му е много свободното време или ще да му е малко мъжкото внимание (ако е моме, че то в днешно време вече не знам кое какво е). И в двата случая ще да берем ядове, да знаете. P.S. Pulse, ти срама нямай, че не разбираш всякогиш какво глаголя. Срамно е ако откажеш да пиеш ако сме седнали на маса.

Намерила съм админ панела на сайта.Само ми трябва да намеря парола и юзърнейм.Идеи за програма такава,или как да стане......влизам-трия и излизам без никой да разбере и без гадости.

За да свалиш PHP файловете, е нужно да имаш FTP достъп до системата. Та ако намериш начин да стигнеш до тази част на сайта, то ще се сдобиеш с цялата информация и абсолютно всичко в сайта освен като копие и в runtime. Тоест ти приятелю правиш с този сайт каквото си поискаш. Та ако си достатъчно добър, може и да свалиш всичко, но като съфорумник ти казвам не се занимавай с глупости ами седни и потърси това което искаш да свалиш и да си го направиш сам. По-лесно е.

@d3k4z По-лесно се продават услугите и се пишат RFP/RFQ responses като имаш сертификати (от бизнес гледна точка), а и цената ти се вдига на пазара (от лична гледна точка). Ти каде си пръскаш бюджета? Ако реално си търсиш нещо в криминалистиката, имам един ексел дето правих да ми напомня кой, кво и каде. Не е пълен, понеже нямам време да го довърша, но може да ти свърши работа. В някакъв момент ще напаравя и за Секюрити, но няма да е близкият месец. Provider Type Name Acronym Location Duration Description Price onsite Price on demand XRY Mobile XRY Certification Onsite 2 day Intro to Mobile Devices & SIM & Basics XRY Mobile XRY Intermediate Onsite 3 day Acquisition types, data dumping & apps XRY Mobile Advanced Acquisition Onsite 5 day Chip-off acquisition XRY Mobile Advanced App Analysis Onsite 5 day SQL & Python Cellebrite Mobile Cellebrite Mobile Forensic Fundamentals CMFF Onsite/on demand 1 day identify devices and follow forensic procedures $850 $695 Cellebrite Mobile Cellebrite Certified Operator CCO Onsite/on demand 2 day Extraction methodology and basic search/reports $1,650 $1,295 Cellebrite Mobile Cellebrite Certified Physical Analyst CCPA Onsite/on demand 3 day Advanced analysis and searches $2,450 $1,950 Cellebrite Mobile Cellebrite Certified Mobile Examiner CCME On demand N/A Piece of paper - Certification only $300 Cellebrite Mobile Certified Evidence Repair Technician – Forensic CERT Onsite 5 day Diagnose, repair, and extract data using UFED Technolog $3,850 Cellebrite Mobile Cellebrite's Advanced JTAG Extraction CAJE Onsite 4 day JTAG Extraction $3,850 Cellebrite Mobile Cellebrite Advanced Smartphone Analysis CASA Onsite 4 day Manual Artefact extraction and analysis $2,995 Cellebrite Mobile Cellebrite Social Network Investigations CSNI Onsite 4 day Basic Legal and Googling ? Cellebrite Mobile Cellebrite’s Cloud Extraction and Reporting CCER Onsite/on demand 1 day Report extraction $499 Cellebrite Mobile Cellebrite UFED Field Operators CFO Onsite 1 day Simple and general concepts ? Cellebrite Mobile Cellebrite UFED Field Managers CFM Onsite 0.5 day Conceptual description ? AccessData Mobile AccessData Mobile Phone Examiner AME On demand N/A MPE+ proprietary $0 AccessData General AccessData Certified Forensic Examiner ACE On demand N/A Basic Forensic concept, procedures and analysis $0 Nuix General Nuix Windows Investigations Onsite 3 day Windows artefacts ? Guidance General ENCASE V7 ENCE® PREP COURSE EnCE Onsite/on demand 3 day More in-depth Forensic concept, procedures and analysis Guidance General EnCase® v7 OnDemand Forensic and Enterprise Fundamentals Training Onsite/on demand Basic EnCase usage $650 $650 Guidance General EnCase® v7 OnDemand Computer Forensics II Course Onsite/on demand Searching and Data Analysis $2,195 Guidance General EnCase® v7 OnDemand Computer Forensics I Onsite/on demand Create, archive Cases, basic search and analysis $2,195 Guidance General EnCase v7 OnDemand Advanced Computer Forensics Onsite/on demand Volume Shadow Copy, RAM, RAID $2,195 Guidance General EnCE certificate EnCe On demand Piece of paper - Certification only $300 ISFCE General Certified Computer Examiner Training CCE Onsite/on demand Complete process and analysis $2,895 ISFCE General Certified Computer Examiner CCE On demand Piece of paper - Certification only $395 IACIS General Basic Computer Forensics Examiner CFE Onsite/on demand File system, PC fundamentals, data recovery and artefacts $2,795 IACIS General Certified Forensic Computer Examiner CCE Onsite/on demand Piece of paper - Certification only $750 GIAC General Windows Forensic Analysis 408 GCFA Onsite/on demand Complete process and simple analysis 5,910 GIAC General Windows Forensic Analysis 408 GCFA Onsite/on demand Piece of paper - Certification only $1,249 GIAC General Advanced Digital Forensics and Incident Response 508 GCFE Onsite/on demand Advanced analysis and IR 5,910 GIAC General Advanced Digital Forensics and Incident Response 508 GCFE Onsite/on demand Piece of paper - Certification only $1,249 GIAC Mobile Advanced Smartphone Forensics 585 GASF Onsite/on demand Combination of all mobile tools $5,910 GIAC Mobile Advanced Smartphone Forensics 585 GASF Onsite/on demand Piece of paper - Certification only $1,249 GIAC Network Advanced Network Forensics and Analysis 572 GNFA Onsite/on demand Network Analysis $5,910 GIAC Network Advanced Network Forensics and Analysis 572 GNFA Onsite/on demand Piece of paper - Certification only $1,249 GIAC General Mac Forensic Analysis 518 Onsite/on demand Mac analysis and filesystem $5,910 GIAC General Mac Forensic Analysis 518 Onsite/on demand Piece of paper - Certification only $1,249 GIAC General Reverse-Engineering Malware: Malware Analysis Tools and Techniques 610 GREM Onsite/on demand Reverse engineering $5,910 GIAC General Reverse-Engineering Malware: Malware Analysis Tools and Techniques 610 GREM Onsite/on demand Piece of paper - Certification only $1,249 CyberSecurity Institute General CyberSecurity Forensic Analyst CSFA Onsite Piece of paper - Certification only $750 EC-Council General Computer Hacking Forensic Investigator CHFI Onsite/on demand Basic analysis in all disciplines $720 EC-Council General Computer Hacking Forensic Investigator CHFI Onsite/on demand Piece of paper - Certification only $600 ASIS General Professional Certified Investigator PCI Onsite/on demand Investigation basics, project management and presentation $450 ISCC General Certified Cyber Forensics Professional CCFP Onsite/on demand Intermediate analysis in all disciplines $549 DFCB General Digital Forensics Associate Certification DFCA Onsite/on demand Piece of paper - Certification only $350 DFCB General Digital Forensics Practitioner Certification DFCP Onsite/on demand Piece of paper - Certification only $350 Mile2 General Certified Digital Forensics Examiner CDFE Onsite/on demand Piece of paper - Certification only $400 Mile2 General Certified Digital Forensics Examiner CDFE Onsite/on demand Acquisition, imaging, processing $3,000 Mile2 General Certified Network Forensics Examiner CNFE Onsite/on demand Piece of paper - Certification only $400 Mile2 General Certified Network Forensics Examiner CNFE Onsite/on demand Pure Network topics $3,000 IACRB General Certified Computer Forensics Examiner CCFE Onsite/on demand Basic analysis in all disciplines $500 $500 7safe - ffs(todo)

За целта ще ни трябва HackRF ( https://greatscottgadgets.com/hackrf/ ) , Kali Linux и GQRX ( http://gqrx.dk/ ) Ще използваме GQRX за да разберем на коя честота работи нашето дистанционно. Повечето автомобилни и гаражни работят на 315 MHz или 433 MHz. След като сме открили честотата ще използваме hackrf_transfer За да запишем честотата ще използваме hackrf_transfer -r garage.raw -f 433900000 След като е записан сигнала използваме Ctrl+C за да спрем скрипта. За да повторим записаният файл използваме hackrf_transfer -t garage.raw -f 433900000 -x 47 За rolling code тук http://makezine.com/2015/08/11/anatomy-of-the-rolljam-wireless-car-hack/

@kernel има доста реализация. Продава се като "продукт" и се ползва за анализа на компетентността на работниците в определени зони, сфери или компании. В момента SANS и няколко други компании предлагат готови продукти за анализа на момента, като основното в тях са фалшифи имейли и ескалация от тях. Относно подготвянето, SET (social engineering toolkit) заедно с BeEF toolkit са нещо като стандартните програми за ползване. Сам можеш да се подготвиш като ги пробваш и тестваш върху себе си и собстени акаунти. Мисля, че Кали разполагаше с вградени примери, но честно казано не помня с точност. @d3k4z колкото и да ми се иска да е вярно, видеото е доста преиначено. Типовете от Big4, в частност Делойт, рядко правят такива проекти, и дори когато ги правят, никога не изглеждат така. Последните проекти бяха горе доло стандартен спам с клик рейт и процент реализирани експлойти, и от там се "краде" някаква информация и се показва до какво точно може да доведе липсата на техническа култура при работниците. За мен лично това е загуба на време, понеже извода е, че хората са необразовани, а това така или иначе си го знаем. Освен това, декарз, трябва да разграничиш physical social engineering и "standard" social engineering. Физическата фаза рядко се ползва, освен в определени случаи, като в повечето такива най-много да сложиш един два кейлогера и да висиш и да чакаш пароли. От друга страна имаш доста по-голям ROI (return of investment) от страна на "спама", понеже ти показва нивото на всеки работник и до каква степен трябва да се образова. Същото не може да бъде постигнато от физически тест. Ако