Рады видеть вас на Ghost-Club.com

Зарегистрируйтесь сейчас, чтобы то бы вступить в наш клуб. После регистрации и входа в систему вы сможете создавать темы, отвечать на существующие темы, давать репутацию другим пользователям, получить свой собственный мессенджер, размещать обновления статуса, управлять профилем и многое другое. Это сообщение будет удалено после входа в систему.

gnusmus

Местные
  • Content Count

    14
  • Joined

  • Last visited

  • Days Won

    1
1

Community Reputation

1 Обычный

Контакты

  • ICQ
    32611152

Информация

  • Пол
    Мужчина
  • Откуда:
    Хадык беляк
  1. пожалуй это инфа для меня актуальна, благодарю за осведомление!!!
  2. Добрый день пройденным обучением доволен остаются конечно не большие не понятки, но это мелочи по сравнению с тем пробелом знаний восполненных при обретении курса!
  3. Все мы давно знаем о массе различных способов обезопасить свою переписку в сети. В данной статье представлены наиболее популярные способы шифрования сообщений. Кратко и тезисно, без углубления в технические тонкости. Статья предназначена для тех, кто еще не определился со способом шифрованного общения. Джаббер наше все XMPP - открытый, основанный на XML, свободный для использования протокол для мгновенного обмена сообщениями, файлами, голосовыми сообщениями и пр. Данный протокол имеет большое количество преимуществ: Децентрализация (независимость от центрального сервера) Полное отсутствие спама Наличие шифрования (OTR в Pidgin, возможно использование PGP с любым иным клиентом) Возможность смены сервера Нет привязки к одному разработчику: существует много различных клиентов, работающих на XMPP (Pidgin, Psi+ и другие) Безопасность (изолированность) Гибкость Репутация (используется многими транснациональными компаниями для формирования частных и корпоративных серверов) Если вам интересны технические тонкости и объяснения, а так же слабые стороны XMPP протокола, то можете посмотреть тут и здесь. Что такое OTR? Для пересылки защищенных сообщений разработан криптографический протокол OTR (Off-the-Record). Для создания сильного шифрования протокол использует комбинацию алгоритмов AES, симметричного ключа, алгоритма Диффи — Хеллмана и хеш-функции SHA-1. Основное преимущество OTR перед другими средствами шифрования — это его применение на лету, а не после подготовки и оправления сообщения. Для использования в сторонних приложениях разработчики протокола создали клиентскую либу. Поэтому, чтобы защитить передачу данных по IM-каналам, можно воспользоваться специально предназначенными для защиты приложениями. Иными словами, OTR - это способ шифрования сообщений в режиме реального времени (или максимального приближенного к нему), достаточно простой и надежный в использовании инструмент. Некоторые программы, поддерживающие OTR для обмена мгновенными сообщениями: Pidgin (для Windows или Linux) Adium (для OS X) ChatSecure (для iPhone и Android) Jitsi (Linux, Windows, Mac OS) Что такое PGP? PGP (англ. Pretty Good Privacy) — компьютерная программа, также библиотека функций, позволяющая выполнять операции шифрования и цифровой подписи сообщений, файлов и другой информации, представленной в электронном виде, в том числе прозрачное шифрование данных на запоминающих устройствах, например, на жёстком диск Система шифрования, при которой у вас есть два ключа - закрытого и открытого типа. В чем вообще суть этого шифрования? Пример, описанный ниже, можете найти в этой статье. В ней, к слову, довольно подробно и наглядно описан весь механизм шифрования PGP и принцип работы в целом. Возьмём обычный текст, например, «Привет, мама!». Зашифруем его: превратим в код, который непонятен для чужих глаз (скажем, «OhsieW5ge+osh1aehah6»). Отправляем этот код по интернету. Наше сообщение может увидеть множество людей, но кто из них поймет содержание? В таком виде письмо дойдёт до получателя. Он и только он может расшифровать и прочитать исходный текст. Откуда получатель знает, как расшифровать сообщение, если это не может сделать никто другой? У получателя есть дополнительная информация, недоступная для остальных. Назовём её ключом для расшифровки. Этот ключ раскодирует содержащийся в шифровке текст. Отправитель должен заранее сообщить ключ получателю. Например, «попробуй прочитать сообщение по его отражению в зеркале» или «каждую букву нужно заменить буквой, следующей по алфавиту». У этой стратегии есть недостаток. Если вы думаете, что вашу почту могут перехватывать, как вы перешлёте ключ? Ведь злоумышленник перехватит и его. Тогда нет смысла отправлять зашифрованные сообщения. С другой стороны, если у вас есть секретный способ передать ключ, почему бы не использовать этот же способ для отправки всех секретных сообщений? Шифрование с открытым ключом – замечательное решение проблемы. Каждый человек, участвующий в переписке, может создать два ключа. Один ключ (закрытый) нужно держать в тайне и никогда не передавать другим людям. Другой ключ (открытый) можно передать всем, кто желает переписываться. Неважно, кто получит доступ к открытому ключу. Вы можете загрузить его в сеть, откуда его будут скачивать все желающие. Сами «ключи» по сути являются очень большими числами с определёнными математическими свойствами. Открытый и закрытый ключи связаны между собой. Если вы шифруете что-либо открытым ключом, расшифровать это можно только парным закрытым ключом. Что по мессенджерам? Конечно же, наиболее удобным вариантом общения являются мессенджеры, которые мы активно используем на своих смартфонах. Разумеется, лучше всего использовать при этом еще и VPN (OperaVPN или GlobalVPN). Какие мессенджеры популярны? 1) Telegram - конечно же, наша родная и любая телега. Шифрование осуществляется на основе протокола MTProto (что это такое - смотрите здесь). Данный протокол предполагает использование сразу нескольких протоколов шифрования. При авторизации и аутентификации используются алгоритмы RSA-2048, DH-2048 для шифрования, при передаче сообщений протокола в сеть они шифруются AES с ключом, известным клиенту и серверу. Также применяются криптографические хеш-алгоритмы SHA-1 и MD5. Если же говорить о "секретных чатах", то этот режим реализует шифрование, при котором лишь отправитель и получатель обладают общим ключом (end-to-end шифрование), с применением алгоритма AES-256 в режиме IGE (англ. Infinite Garble Extension) для пересылаемых сообщений. 2) Wickr - альтернатива телеграмма, поддерживающая так же несколько стандартов шифрования (AES 256, ECDH 521, RSA 4096 TLD). Wickr позиционируется как приложение, которое не оставляет следов. Оно уничтожает ваши сообщения не только на смартфонах пользователей, но и на серверах. Кроме того, в самой программе есть функция полного и окончательного стирания, после выполнения которой сообщения нельзя восстановить даже специальными средствами. Wickr осуществляет закодированную передачу почти всех видов контента, включая изображения, аудио и видео. Оно не позволяет копировать или пересылать сообщения или контент третьим лицам, а также препятствует съемке скриншотов. Авторы обещают армейский уровень шифрования. Не могу дать никаких комментариев, так как не пользовался данным приложением, но много о нём слышал. Не вижу смысла в освещении остальных приложений, если вам интересно, какие есть еще, можете посмотреть это здесь. Связано это с тем, что нет желания создавать скрытую рекламу конкурентам в том приложении, которое я считаю наилучшим. Как еще можно скрыть свою переписку? Существуют такие сервисы, позволяющие отправлять временные ссылки с сообщениями, файлами и прочим. Эти ссылки самосгорающие, можно отрегулировать режим: сгорает после прочтения, через час, день и т.д. Так же, ссылки можно дополнительно запаролить. Отправить ссылку можно любым удобным вам способом. Большинство разработчиков говорят, что никаких логов нет и ссылки не архивируются и нигде не хранятся, а содержимое - зашифровано посредством различных алгоритмов. Уверенности в этой информации нет. Однако, данный сервис мною использовался несколько раз, при общении с фейка Вконтакте. Примеры сервисов: secureshare pw , privnote com , pastebin com Еще что-нибудь? Так же, существуют даже анонимные социальные сети (Diaspora, Frendica). Если вы договариваетесь о каких-то темных делах и крайне далеко от всего этого, можно общаться в он-лайн играх, например. Но это уже старая школа. Надеемся, данная статья была интересна и помогла определиться со способами защиты своей переписки тем, кто еще не сделал этого.
  4. А если мы завладеем ее страничкой, то куда мы ей письма с шантажом писать то будем? На мобилу что ли?))) Лучше сразу с левой страничке все написать ей, и объяснить что будет и что сделать для того что бы этого не было) Все коротко и ясно) p/s Если по борду полазить, то можно мего схему собрать по шантажу в VK ) Ахаххах
  5. найти шопы с внутренним пополнением баланса. Кто не понял, что это за шопы, вот пример - шоп хусейл wholesale-dress.net В чем плюсы, и преимущества данных шопов? Почему люди интересуются такими шопами? Ответ просто. Похуистичность биллинга и шипинга. Т.е. смысл работы данных шопов: Вы зарегистрировались, зашли в акк и вид пополнили внутренний счет. В основном эти шопы хавают палку, но половина их, так же хавает сс. и после успешной оплаты мы видим следующую картину: После чего, мы смело можем шопится на этот баланс, и при чекауте указать данные дропа, и списание средств с внутриннего баланса. Если загонять чекаут сразу с палки либо же сс, ваш ордер будет обрабатываться долго, и при чардже, будет отмена. С баланса же, данные шопы играют в игру "Похуй". Итак. Ближе к делу. Много раз видел на форумах, как люди спрашивали за шопы, с пополнением баланса. И мне стало не по детски интересно, найти самому данный сабж. Как я анализировал и подготавливался к поиску? Для начала пробил CMS на которой крутится хусейл. Гугл выдал мне сервис скриптов для таких китай шопов chinascript.ru Там мы видим 3 вида скриптов для создания таких вот шопов с балансами. Это ECShop, ECMall, UCenter Ну ок, спасибо за помощь данному сервису. Начинаем гуглить. Составляем плавильную дорку под поиск. intitle:Powered by ECShop Но гугл выдает в выдаче, не нужный мусор. Будем отсеивать. Идет в хусейл. Смотрим стуктуру урла. Вот как пример: Вообщем, выбираем параметры поиска под себя. Я выбрал, создал поисковый запрос, и у меня получилось моя дорка intitle:Powered by ECShop intext:User Center_ inurl:user.php Далее в гугл, и что мы видим? А видим мы овер дохуя шопов, с пополнением внутреннего баланса. Теперь под-итожим плюсы данных шопов. - Долго идущий чардж. ( было такое, что пополнил счет, и с внутреннего счета раз в неделю, целый месяц щипал стаф) - Похуистичность система, что пополнял Джон Смит, а шипинг адрес Вася Пупкин. - При чекауте с палки, не так сильно ерорит, как в других шопах. - Кто не владеет искусством работы с пайпал, половина шопов поддерживает прием оплаты с СС. - На данных шопах крутятся не только шмотки, есть и електроника, телефоны (правда все китайское).
  6. Около 70% сайтов по всему миру работают на CMS написанных сторонними разработчиками. Остальные 30% работают на самописных системах, причем практически везде используются готовые модули для ускорения написания сайта. По факту, 80% сайтов у которых есть CMS, а не просто html страничка, используют скрипты других разработчиков. Для примера, всем известные Joomla, Drupal, DLE используются модуль TinyMCE(редактор текста). Возможно, Вы замечали такую картинку на многих сайтах, в области комментариев, создания новости или статьи, описание профиля. Что если TinyMCE используют разработчики на 20% сайтов и вдруг найдена уязвимость в этом модуле, которая позволяет загрузить шелл ? Это значит, что все 20% сайтов в интернете могут быть подвергнуты взлому, если разработчик не выпустит обновление модуля, с закрытием “бреши в защите”. Взлома 20% сайтов достаточно чтобы стать миллионером-хакером, вопрос только в том, кто успеет обнаружить уязвимость раньше всех и использовать её пока никто о ней не догадались не разработчики, не другие хакеры? В этом и заключается изюм. Если крупнейшие сайты уязвимы, что уж говорить о всякой мелкоте Новые уязвимости (эксплоиты) публикуются каждый день Свежий эксплоит = много шеллов Должна быть база CMS/доменов которые Вы будете чекать на уязвимые компоненты линки на которых публикуются новые эксплоиты http://www.exploit-db.com/ http://www.intelligentexploit.com/ http://www.exploit-id.com/ Joomla - http://www.joomlaexploit.com/ Wordpress - http://www.wordpressexploit.com/ Другие: http://www.bugsearch.net/ http://packetstormsecurity.com/ http://cxsecurity.com/ http://www.securityfocus.com http://r00tsecurity.net/0days/ Желательно понимать английский язык на базовом уровне. Вам пригодится английский для прочтения инфы о некоторых уязвимостях. Виды эксплоитов: Эксплоиты локального действия (Local Exploits) Эксплоиты удаленного действия (Remote Exploits) Эксплоиты для Веб-приложений (!) (Web Applications) Эксплоиты для вызова отказы системы (DoS/PoC) Нас интересует пункт №3, так как наша задача взламывать и заливать шеллы на веб-сервера, через уязвимости в скриптах сайтов. Виды уязвимостей: SQL Injection – Ошибка в коде из-за которой можно делать запросы к БД (базе данных) сайта XSS - Межсайтовый скриптинг Отсутствие фильтров безопасности в коде движка сайта дает возможность использовать JavaScript язык для похищения cookies и последующей авторизации под пользователем чьи cookies были взяты для редиректов. CSRF - Подделка межсайтовых запросов В вкратце Когда Вы делаете запрос на изменение пароля в своем личном кабинете какого - либо сайта, Вы вбиваете новый пароль в input поле формы и кликаете на кнопку, после чего мгновенно отправляется запрос на php скрипт, который вносит изменения в базе данных. Так вот CSRF это имитация запроса к форме на изменение данных или выполнения какого либо действия от Вашего лица при условии что Вы авторизованы на сайте Вы можете понять суть уязвимости, прочитав следующие материалы: http://habrahabr.ru/post/126409/ http://habrahabr.ru/post/21626/ http://habrahabr.ru/post/141414/ http://habrahabr.ru/post/134150/ Local File Include - чтение локальных файлов на сервере. Причины уязвимости и прочее можете найти в гугле. Пример: Remote Code Execution – удаленное выполнение кода. Одна из самых мощных и практических уязвимостей, используя которую не нужно копаться разбираться в SQL запросах или знать javascript как в xss. Пример: http://www.exploit-db.com/exploits/27603/
  7. ты не убей так форвардов,лучше связочка дроп-форвард-дроп
  8. + админам за их хорошую работу по форуму, раньше было совсем не так) Так держать!
  9. БЕз труда не выташишь и рыбку из пруда