Войти
Методы взлома

Методы взлома

New attack! Новые атаки появляются с каждым днем!

Описание

Корпорация хакеров впервые открывает свои секреты того, как проникает и взламывает чужие аккаунты, крадет информацию и многое другое...

Записи сообщества

8
Веб атаки на сайты (XSS, CSRF и SQL-инъекции)

Можно также сказать, что атаки на веб-серверы бывают всех видов и типов. Наиболее распространенными из них являются «зависание», внедрение SQL, переполнение буфера, сниффинг и атаки IIS на уязвимости веб-сервера.

1. SQL-инъекция

Так называемая атака с использованием SQL-инъекции заключается в том, что злоумышленник вставляет команды SQL в поля ввода веб-формы или в строку запроса, запрашиваемую страницей, чтобы обманом заставить сервер выполнить вредоносные команды SQL. Злоумышленник обманывает сервер базы данных для выполнения несанкционированных запросов и подделки команд, добавляя дополнительные элементы оператора SQL в конец операторов SQL, которые предварительно определены в приложении.
Он может легко обойти брандмауэр для прямого доступа к базе данных и даже получить системные разрешения сервера, на котором расположена база данных. Среди уязвимостей веб-приложений риск SQL-инъекций выше, чем всех других уязвимостей.

2. Межсайтовый скриптинг (XSS)

XSS (межсайтовый скриптинг) - наиболее распространенная уязвимость в веб-программах. Относится к злоумышленнику, внедряющему клиентские скрипты (например, JavaScript) на веб-страницу. Когда пользователь просматривает веб-страницу, сценарий будет выполняться в браузере пользователя для достижения цели злоумышленника. Например, получить файл cookie пользователя и перейти на вредоносный веб-сайт. , Перенос троянов и т. Д.

3. CSRF-атака
CSRF (подделка межсайтовых запросов), китайское название: подделка межсайтовых запросов, также известная как: атака в один клик / скачивание сеанса, сокращенно: CSRF / XSRF.
Вы можете понять CSRF-атаку следующим образом: злоумышленник украл вашу личность и отправил вредоносные запросы от вашего имени. CSRF может выполнять следующие действия: отправка электронных писем от вашего имени, отправка сообщений, кража вашей учетной записи, даже покупка товаров, переводы виртуальной валюты ... Вызываемые проблемы включают: утечку личной информации и безопасность собственности.
Показать полностью...
Схема обмана на Авито и Юле

Итак по-подробнее, на этих площадках разводят продавцов на их товар а именно на Авито доставку / Безопасная сделка(Юла).

Находятся объявления от 1к руб, добавляется контакт продавца в WhatsApp.

Общение непосредственно с продавцом, что он по поводу товара с Авито, задается пару вопросов о товаре, далее говорится о том, что заинтересованы в покупке его товара, но он находится в другом городе и не можем приехать и забрать лично, и тут уже он начинает переводить тему на доставку.

Если человек не знает как работает доставка-объясняет, когда соглашается-он делает вид что пошел оплачивать и тд, после создает в боте ссылку на безопасную сделку / доставку, и предоставляем ее продавцу и говорит, что оплатил.

После того как продавец переходит по его ссылкам на оплату и заполняет свою карту якобы для получения своих денег, у него их списывают.
Показать полностью...
«Золотая жила» хакера – подбор «секретных ключей» криптокошельков Ethereum, как такое возможно?

Владелец криптовалюты связан с блокчейном секретным и публичным ключом, пара храниться в кошельке в виде 78-символьного кода, вероятность подобрать который равняется немыслимому числу комбинаций. Ранее считалось, что вычисления и подбор сгенерированного кошельком ключа под силу несуществующим пока, квантовым компьютерам.

Журналисты Wired рассказали, что взлом кошельков Ethereum стал постоянной и надежной статьей дохода хакера, который владеет адресом, входящим по размеру накоплений ETH в топ-400.

Суть метода достаточно проста – злоумышленник использует несовершенство Ethereum-кошельков, которые массово создаются различными стартапами или отдельными кодерами. Некоторые из них предлагают пользователям самими выбирать секретный ключ, другие генерируют откровенно его слабые версии.

Особенностью блокчейна Ethereum является возможность переноса депозита в любой другой аккаунт с помощью вставки ключа доступа – так поступают многие биржи, чтобы экономить на майнерской комиссии. Хакер заранее имеет список слабых ключей-кодов и ПО, чтобы отслеживать и проверять все адреса, возникающие при транзакциях в обозревателе блоков. Оно же автоматически применяет набор ключей-отмычек к каждому адресу, подставленному в свой кошелек чтобы войти и украсть депозит при совпадении кода.

Ради эксперимента Wired попробовали разместить депозит ETH в кошельке со «слабым» ключом, средства были украдены через секунду. Это указывает на то, что хакер или группа злоумышленников постоянно отслеживает ненадежные пароли, о которых многие пользователи не подозревают, доверяя программному обеспечению.

Как избежать атаки, сохранить депозит? Пользуйтесь проверенными и надежными кошельками «раскрученных» стартапов.
Показать полностью...
QiwiGraber в телеграме!

Вы делаете кошельки Qiwi, заранее берёте оттуда токен, продаёте их кому либо, засовываете токен в грабер, всё - грабер автоматически чекает и при появлении баланса - выводит его на ваш кошелек.
Атакуем WI-Fi соседа

Wifi-Hacking - инструмент для взлома беспроводных подключений с помощью встроенных инструментов. Утилита позволяет начать атаку WPS сетей, так же преимуществом инструмента является возможность начать поиск сетей WPS, кроме того утилита позволяет перейти в режим монитора.

Установка
$ apt-get update && apt-get install git
$ git clone https://github.com/ankit0183/Wifi-Hacking
$ cd Wifi-Hacking/

Использование
$ python3 Wifi-Hacking.py

Подробнее про утилиту можете прочитать на официальной странице Github репозитория: https://github.com/ankit0183/Wifi-Hacking
Показать полностью...
Взламываем Qiwi при помощи Социальной Инженерии

Привет, на связи админ! Сегодня будем учится взламывать Qiwi с помощью Социальной Инженерии (СИ). Но, сразу уточню, что наёбывать мы будем скамеров, разных нечистот, разводил, попрошаек и прочих.

1. Первый способ

Находим группу ВК, где публикуют кидал, которые разводят на покупку/продажу аккаунтов и продажу внутриигровой валюты. Например в Fifa Mobile, Brawl Stars, Standoff 2 и так далее.

Находим номер, заходим в приложение Qiwi на телефоне, ставим VPN по EU или USA (тогда будет звонок на телефон, а не СМС). Важно, чтобы он был онлайн. Вбиваем его номер и ждем.

Через пару секунд пишем - "Привет, продай голду(или что-нибудь другое), не могу дозвониться".

Если он оформил Qiwi на себя, как обычно бывает, он получит пропущенный и спросит - "Ты ли звонил?".

Ты пишешь - "А какой номер?", и он тебе диктует номер включительно с последними цифрами, которые нужны для доступа к аккаунту, в поле логина в приложении.

Готово, доступ есть, можно выводить деньги без подтверждения СМС.

2. Второй способ

Первое что нужно сделать, написать скамерам, которые собирают на "пожертвования/лечение".

Убедится, что это скамер достаточно легко - справки из клиник либо отсутствуют, либо явный фотошоп.

Тут всё максимально просто, можно сразу выставлять счет по номеру телефона с текстом “Перевод из Национального Банка Молдавии/Румынии (любой страны не-СНГ). Оплатите комиссию для получения”. Попутно пишем СМС на телефон или в мессенджеры. Обычно такие узбеки даже не успевают что-либо заподозрить)

3. Третий способ

Подойдет для брут аккаунтов. Делаем новый аккаунт Qiwi на те же документы, что и в брученном. Пишем в саппорт, что хотим скинуть деньги на новый счёт, прилагаем номер.

Может понадобиться отрисовка скана паспорта и селфи, но если суммы большие, то проблем не возникнет.

4. Четвёртый способ

Это будет прямой шантаж. Выставляем счёт с комментарием "за Игил", "обнал", "вбив", "за ЦП", "за наркоту" и прочее (что в голову придёт).

Если жертва не хочет скидывать бабки - пишем, что сейчас поступит перевод с таким же комментарием и тогда аккаунт заблокируют (это на самом деле так).

Но потребуется одноразовый киви, который не жалко. Потому-что киви отправителя тоже забанят

5. Пятый способ
Показать полностью...
Межсайтовый скриптинг

XSS (англ. Cross-Site Scripting — «межсайтовый скриптинг») — тип атаки на веб-системы, заключающийся во внедрении в выдаваемую веб-системой страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы).
Атака человек в середине.

Атака "человек в середине" требует трех игроков. Есть жертва, сущность, с которой жертва пытается общаться, и “человек посередине”, который перехватывает сообщения жертвы. Критическим для сценария является то, что жертва не знает о человеке в середине.
Cсылка
Поделись записью
Выбрать из галереи