GAMEOVER

Отличные новости — криптобиржа «TROFI» раздает 10$ за регистрацию и прохождение KYC, а так же целых 25$ за приглашенного друга. 1. Переходим по ссылке; └ Перед этим обязательно включаем VPN любой страны; 2. Проходим регистрацию и указываем в «Referral Code (Optional)» вводим "DTW8F6"; └ Указываем почту от gmail.com, так как на .ru почты письмо не идёт; 3. Проходим KYC; 4. Делаем депозит в размере 100$ (в BTC или ETH) и храним 30 дней; 5. Получаем 35$ на наш кошелёк и выводим их; 6. PROFIT!

В качестве примера мы рассмотрим приложение Instagram. Для реализации задуманного нам понадобятся следующие вещи: 1. Стандартное приложение «Команды», если вы его удалили: *тык*. 2. VPN который оптимизирован под приложение «Команды» и умеет работать в фоновом режиме, в этой статье примером будет AdGuard VPN. 3. Заблокированное приложение(ния) или сайт(ы), если это сайт, то рекомендую использовать для этого дела отдельный браузер. Например: У меня основной браузер Safari, для заблокированных сайтов буду использовать Google Chrome. После первого скачивания AdGuard VPN, пройдите регистрацию и сделайте тестовое подключение. После первого подключения AdGuard VPN, как и другой любой VPN, попросит ввести свой профиль конфигурации VPN, необходимо согласиться, для того чтобы он отобразился в меню настроек. Шаг №1 Заходим в приложение «Команды» и выбираем пункт «Автоматизация». <img src="https://sun9-56.userapi.com/s/v1/ig2/BIeuwNzYNR1lr-E9tc5OzIUd-MkkATEc2Ozc7Eyla_FVuCleKgEQ4CRue3n9yqFNegRGz3IztiTKYMnO0qMWvDjy.jpg?size=632x1080&quality=95&type=album" itemprop="contentUrl" id="HDPv" width="316" height="540"> Шаг №2 Нажимаем на плюсик в левом верхнем углу и выбираем «Создать автоматизацию для себя». <img src="https://sun9-2.userapi.com/s/v1/ig2/xIFY3NfvphjFRgJxw_hAcYTBvu9o_xtk9DVq680ETIUa6QSJCms1UylpawDxEoeMVP1bwQ1GkvBcUn05TNR8Q75t.jpg?size=631x1080&quality=95&type=album" itemprop="contentUrl" id="wfdo" width="315.5" height="540"> <img src="https://sun9-73.userapi.com/s/v1/ig2/oQ-jKh4N7IgNdmsA_FdywwrfFYcaRd1ikPCIa8hgWY6JO04larwyvVi-qoVieXMGXX82MArsc8_ZlpnwjSxspZ_N.jpg?size=634x1080&quality=95&type=album" itemprop="contentUrl" id="6A2M" width="317" height="540"> Шаг №3 Листаем ниже и выбираем пункт «Приложение». <img src="https://sun9-31.userapi.com/s/v1/ig2/mi7xrI2OulWOJAZXidf5rBHGxuasH9nM3Rwv3_YfHTFRzqTUfb0t51P-rOCCeIaNicKewBkOdje5iICs_9-Nt_Fa.jpg?size=642x1080&quality=95&type=album" itemprop="contentUrl" id="fqt4" width="321" height="540"> Шаг №4 Ищем пункт «Приложение» и нажимаем «Выбрать». <img src="https://sun9-8.userapi.com/s/v1/ig2/iDqKJoRmIPGhAWwEKeGpfm8Wrz-E5iUVSkdQKdU1gZarcI7WneBPs4nhE_Mk7W7wxzMthYmFIBVg9pHCXgmBvGoB.jpg?size=646x1080&quality=95&type=album" itemprop="contentUrl" id="BWLi" width="323" height="540"> Шаг №5 В поисковой строке вводим «Instagram». <img src="https://sun9-85.userapi.com/s/v1/ig2/U-OIaT5anIQrzP_w-JSqNRWmKnruWa6JgnDNwqub8Ym8wYu4YqelMrQH3pmn-qLD8uMxaSmR1bymNKEH1EQocL8a.jpg?size=646x1080&quality=95&type=album" itemprop="contentUrl" id="3PFP" width="323" height="540"> Шаг №6 Галочка должна быть на пункте «Открыто», затем нажимаем далее. <img src="https://sun9-84.userapi.com/s/v1/ig2/dssPgTW3Aewef1-AOYCBA_jNTwjJCsH7tGj8KBr6SbnOb0o0iYaqx7OFWq1PBBmZvTRVz2ThPVrUGerDSTv3aSLn.jpg?size=640x1080&quality=95&type=album" itemprop="contentUrl" id="r7pd" width="320" height="540"> Шаг №7 На появившейся странице нажимаем на «Добавить действие». <img src="https://sun9-86.userapi.com/s/v1/ig2/rvy7agl-_H8L9QBIWvJwfFriXrP-FUbHbmQIiSuOoeE732_ZvH7nKKVnOW4WdBVhY60okqkFOscNmkh4VSaUvU44.jpg?size=640x1080&quality=95&type=album" itemprop="contentUrl" id="u5X6" width="320" height="540"> Шаг №8 В поисковой строке пишем «AdGuard VPN». <img src="https://sun9-83.userapi.com/s/v1/ig2/UfkuwXP_Y5hTOy_3G8pSbunQ9FgrZintu0m6Nd2qMX73k9SNIH69y0DND4Lt45ZtJ1XBAu_NlLNXVnzYdv_yyVdG.jpg?size=646x1080&quality=95&type=album" itemprop="contentUrl" id="Ezdf" width="323" height="540"> Шаг №9 Жмем «Настроить VPN-соединение». <img src="https://sun9-88.userapi.com/s/v1/ig2/Iqq-nRQdU9_PSCF3EZ2yNWGl8cr9PjrDHvVWItIuPZfRuT0OvdSunGO9Uua5dBxTLsaNHiMB1rBBkCwj_LlBMNCs.jpg?size=639x1080&quality=95&type=album" itemprop="contentUrl" id="loCL" width="319.5" height="540"> Шаг №10 В появившемся окне жмем далее. <img src="https://sun9-9.userapi.com/s/v1/ig2/sMuLg2HuFPNcqQQ4pym_zPkf8y8Q0smauTZ2RriUSAqaZjKSnda1zWriEaBb8eHnBr7Ai1rheOM3HDcIbNWdVS2l.jpg?size=646x1080&quality=95&type=album" itemprop="contentUrl" id="0Zku" width="323" height="540">Г Шаг №11 Тумблер «Спрашивать до запуска» необходимо выключить, чтобы каждый раз не запрашивало, действительно ли мы хотим это сделать. <img src="https://sun9-17.userapi.com/s/v1/ig2/l-xCAWJt_heSIFrh4-PdXtM6E0kM-YW2hpylMREo6WnbnA4UOvKrVt_RMUBJuVL_D81uyLyPZJuWWoRKz4pU_71D.jpg?size=646x1080&quality=95&type=album" itemprop="contentUrl" id="7bzj" width="323" height="540"> Теперь при запуске приложения Instagram у нас будет автоматически включаться VPN. Теперь кратко расскажу как сделать так, чтобы VPN выключался при закрытии приложения: 1. Переходим к шагу №6 2. Переставляем галочку на «Закрыто» Теперь VPN будет автоматически выключаться при закрытии приложения. Так же и с браузером Google Chrome, в шаге №5 необходимо выбрать Google Chrome, а не Instagram.

Всем привет, сегодня я покажу вам утилиту для спама сообщениями на почту Gmail. Все в ознакомительных целях) Для использования данного скрипта необходимо зайти на сайт https://www.google.com/settings/security/lesssecureapps и включить мене безопасные входы в приложения из своей почты Gmail (все на ваш страх и риск) Установка: pkg install python2 -y pkg install git -y git clone https://github.com/palahsu/MBomb.git cd MBomb ls python MBomb.py или python2 MBomb.py Использование: После запуска программы, необходимо ввести ваш Gmail, пароль от него, далее ввести Gmail испытуемого, содержимое сообщения, и количество сообщений. На этом все, скрипт будет выполнять свою работу.

Максимально быстро и без проблем получаем дедик под свои нужды. Характеристики: 7GB RAM | 2 CPU | 255 GB HDD | Download speed 900Mb/s+ Сразу к делу: 1. Проходим регистрацию на GitHub 2. Заходим на репозиторий 3. Делаем Fork данного репозитория Как правильно сделать Fork? 1. Нажимаем Fork 2. Жмем «Create Fork» 4. Переходим в «Actions» нашего Fork'a 5. Нажимаем на «I understand my workflows, go ahead and enable them» 6. Далее нам нужно зайти на данный сайт 7. Нажимаем «Начать» 8. Нажимаем «Далее» 9. Нажимаем «Авторизировать» 10. Копируем код из «Windows (PowerShell)» 11. Возвращаемся к пункту «5» 12. Нажимаем в последовательности как на Заполняем данные поля: В «Enter CRD code» Вставляем код, который получили в пункте «10» В «Six digit Pin» Пишем любой пароль, состоящий из 6 или более символов. Пример: 123456 ( запоминаем, понадобится для входа ) ГОТОВО!!! 13. Заходим сюда и ждем, пока создастся дедик. Плюсы данного способа: 1]. Быстрое создание 2]. Быстрое подключение 3]. Долговечный абуз 4]. 255 GB HDD... 5]. Отключился - создай новый за 1-2 минуты Минусы: Может выключиться когда ему вздумается ( Бота не поставишь )

Перед вами очень простой способ создания собственного VPN-сервера без логгирования, всего за 2€ (около 135₽) и 5 минут личного времени. 1. Переходим по ссылке и регистрируем аккаунт; 2. Получаем письмо на email, переходим по ссылке в нем и подтверждаем регистрацию; 3. Далее в появившемся окне выбираем услугу «VPN» 4. Оплачиваем 2€ за пользование VPN с общим IP-адресом или 10€ за использование выделенного IP 5. Выбираем одну из 14ти предложенных стран локации сервера 6. После выбора всех настроек нажимаем на заветную кнопку «Заказать» и ожидаем установки; 7. Переходим к настройке сервера 1) Адрес хоста сервера, 2) Имя нашего пользователя, оно понадобится при подключении, 3) Пароль, также понадобится при подключении, 4) Тип подключения, рекомендую использовать UDP, 5) Профиль, 6) Выбор локации VPN, можно менять в один клик, главное не забывайте скачивать профиль из пункта 5 каждый раз); 8. Переходим к подключению. Для этого нам потребуется приложение «OpenVPN» (Windows, IOS, Android); └ Я буду показывать на примере Windows; 9. Скачиваем инсталлер и запускаем его, после чего скачиваем конфигурацию нашего сервера (пункт 7-5); 10. Открываем скачанный файл конфигурации далее соглашаемся с добавлением конфигурации 11. Находим иконку нашего VPN в скрытых значках и нажимаем «Подключиться» после чего приложение потребует ввести данные от сервера. Идем в личный кабинет и копируем их оттуда 12. После ввода данных нажимаем OK и спустя 1-2 секунды мы подключаемся к нашему VPN серверу; 13. PROFIT!

007-TheBond — OSINT скрипт, который поможет вам найти информацию про вашего друга, члена семьи, знакомого. Установка и запуск: git clone https://github.com/Deadshot0x7/007-TheBond cd 007-TheBond python -m venv venv source venv/bin/activate pip install -r requirements.txt python 007-TheBond.py

Спец. для вас отрыл премиум этой замечательной программы Для удобства скачивание сделал формат .torrent P.s.: Кто не в курсе, что это за прога и какие шалости с помощью нее можно сделать, советую загуглить) https://disk.yandex.ru/d/JTYvnAF2fHBn4Q

Интересная утилита, которая позволяет сканировать папку кэша браузера Google Chrome и отображает список всех файлов, которые в данный момент хранятся в кэше. https://disk.yandex.ru/d/du6-SViliaHR8g

Если мало места или трафика на смартфоне, не нужно устанавливать прокси или VPN. В настройках Android можно активировать скрипт, который обходит блокировки. Переходим в «Настройки», далее открываем раздел «Сеть и интернет» и нажимаем на значок шестерёнки на текущей Wi-Fi сети. Кликаем «Редактировать» и переходим в «Расширенные настройки», затем нажимаем «Прокси-сервер» и переводим его в состояние «Автонастройка». В поле «URL автоконфигурации прокси» вставляем эту ссылку «https://git.io/ac-anticensority-pac». Будет активирован скрипт, который позволяет обходить блокировки на Android без установки прокси.

Суть в том, что запустив рассылки по базам, например с партнерскими ссылками, можно за сутки заработать в разы больше потраченного на саму базу, и еще выйти в плюс. Главное — это грамотно оформить свое письмо, и настроить софт, чтобы открываемость была выше. На первом плане по важности, конечно, стоит та база, по которой вы будете создавать эту рассылку. Вообще, вариантов использования таких баз много. Ну например самый простой вариант — это просто загуглить "скачать email базу". Есть довольно много сайтов, на которых вы можете найти такие базы, например разные форумы, инфосливы и тому подобное. Сразу оговоримся, что инфосливы скорее лучше не использовать, т. к. качество таких баз оставляет желать лучшего. Например, можете использовать ExportBase: Вы можете там выбирать различные категории, города, номера телефонов, или только электронные почты и примерно попадать в вашу целевую аудиторию, но базы там в основном юр.лиц. Вы получите около полмиллиона актуальных email адресов. После того, как определились с базой, создаете новый список и добавляете свою базу данных. cобирать базу через рекламу (вложения), например через РСЯ на свой сайт, который через определенную форму для заявок собирает имя, и почтовый адрес пользователя. - 2ГИС также можно использовать, но либо парсером (сервис автоматизации для сбора информации), либо вручную; - Справочники, также вручную. Этих способов более чем достаточно для того, чтобы найти и сформировать свою базу, по которой можно начинать работу. Чем пользоваться для рассылки? Порекомендую сервис опираясь на свой опыт и опыт друзей, которые не подводил и радует своим функционалом. - SendPulse; Дальше собираем пазл Добавляем свои базы в выбранный сервис рассылок и настраиваем на отправку писем: Затем собираете свое письмо для каждой базы отдельное, которое непосредственно уже увидят пользователи: Конструктор максимально простой, как везде. Также обязательно сделайте свой сайт и пройдите проверку, чтобы доставляемость писем была выше, по этому пункту ничего не расскажу подробнее, так как мне настраивал отдельный спец, а в каждом сервисе такие имеются в поддержке, так что не стесняйтесь их заваливать вопросами. Выводы Способ этот может приносить и 500 рублей и 40 тысяч рублей в день, все зависит от вас, вашего оффера и ваших писем, ну и от базы разумеется. Деньги тут бешеные. Просто факт, но чтобы все запустить вам надо сначала изучить инструменты и собрать еще информации помимо моих статей дополнительно, ведь это элемент самообразования, не так ли? В общем можете с помощью этого способа делать разные вещи, и продавать и продвигать и оповещать. Всем желаю большого роста

Иногда присутствует потребность в создании виртуальной личности в интернете, раньше для этого использовали фото и данные реальных людей, однако сегодня существуют специальные сервисы, которые помогут вам сгенерировать новую личность для дальнейшего использования. https://thispersondoesnotexist.com/ - нейросеть, генерирующая лица, которых не существует https://randus.org/ - генерация рандомных личностей https://randomdatatools.ru/ - генератор рандомных личностей https://verif.tools/ - генерация случайного паспорта (с фото) https://prepostseo.com/ - генератор банковских карт https://vccgenerator.org/ - генератор банковских карт

В данном посте мы разберём метод бана ВК по номеру телефона. Что нам нужно? 1. Второй номер, на который зарегистрирован ВК с именем цели и самое главное чтобы вы могли принимать на него сообщения длительное время (левые SIM карты продаются продаются по 200-500₽) └Зайдите с этого аккаунта ВК 2. Нажмите на 3 точки в правом верхнем углу. 3. Выберите пункт "Пожаловаться". 4. Причину укажите: "Ненастоящий профиль". 5. На вопрос ваша страница или нет нажмите "Да". 6. В поле старый телефон введите телефон жертвы. 7. В доступный номер ваш левый/второй номер. Отправляем жалобу.

Совсем недавно нашел интересный скрипт, который позволяет делать рейды на чаты в «Telegram». В скрипте есть различные способы флуда: стикерами, тэгами или текстами. 1. Переходим по ссылке и скачиваем APK, после чего устанавливаем его на смартфон или эмулятор android; 2. Сразу после установки вводим: "termux-change-repo" и нажимаем "Enter" —> стрелочку вниз —> пробел —> "Enter" 3. Вводим "pkg update" во всех выборах жмём "Enter" и вводим: "pkg install python" —> "Enter", вводим "pkg install git"; 4. Запускаем и вводим следующие команды по очереди: git clone https://github.com/Madara225/telegram-raid-botnet-pyrogram cd telegram-raid-botnet-pyrogram pip3 install -r requirements.txt 7. Переходим по ссылке и авторизируемся, оттуда копируем "ID" и "Hash"; 8. Прописываем эти команды: cd sessions nano config_api.py └ Откроется окно редактирования, сюда пишем: api_id = ID api_hash = "HASH" └ Значения подставляем из 7 пункта, чтобы выйти из файла с сохранением делаем CTRL + X, затем жмём "Enter"; 9. Теперь надо авторизовать аккаунты, для этого вводим "python3 add_session.py" и скрипт спросит номер пункта, вводим "1", вводим номер и код, который придёт в «Telegram», если надо добавить аккаунты ещё повторяем пункт сначала; 10. Как добавили аккаунты вводим "python3 add_session.py" и пишем "2" для активации аккаунтов; 11. Настраиваем скрипт следующими командами: cd .. cd settings nano config.py └ Меняем все поля под себя, для выхода CTRL + X и "Enter"; 12. Запускаем сам скрипт: cd .. python3 main.py

Ipcker - Простой инструмент поиска IP-адресов. Функции: Получение информации об IP-адресе Получение информации об IP-адресе любого веб-сайта Показ IP-адреса в браузера и Карт Google Установка: apt-get install python git clone https://github.com/Deadpool2000/IPicker.git cd IPicker python ipicker.py

Внимательно с тг ботом, не исключён скам

Управление кошельком (вывод средств): 1 Заходим на tronscan, подключаем Real кошелёк, и кликаем на Multi-signature transfer: 2. В поле From вписываем адрес Scam кошелька, в поле Access выбираем owner, в поле Token выбираем тот актив, который мы хотим вывести, например, я выведу USDT, в поле To вставляем адрес, на который будут выведены ваши USDT. Жмём кнопку Send, подписываем транзакцию, и готово. 3. Готово. Средства успешно выведены. Вам осталось поставить Scam кошелёк на постоянный автовывод, что бы жертва ничего не заподозрила. И максмально распостранить сид фразу или приватный ключ от кошелька.

Создаём скам кошелёк в сети TRON, и скамим хомячков, которые хотят вывести с него средства Создание кошелька: Сразу скажу, что для создания вам понадобится 100 TRX и 2 кошелька. Первый - скамный, и второй - ваш. Сама суть заключается в подмене владельца кошелька. 1 Скачиваем Tronlink (криптовалютный кошелёк для сети TRON). 2 Создаём 2 кошелька (можно использоваться уже имеющиеся) и импортируем их в Tronlink. Будет создано кошель Scam, с которого никто кроме вас не сможет снять средства, и второй кошелёк Real, реальный кошелёк, с которого можно будет управлять своим Scam кошельком: 3. Пополняем Scam кошелёк на 100 TRX 4. Заходим на tronscan.org и подключаем наш Scam кошелёк к сайту 5. Заходим в настройки нашего кошелька на Tronscan как на скриншотах выше, или просто по ссылке 6. Копируем адрес нашего реального (Real) кошелька. Нажимаем на Edit Access, и заменяем в обеих полях текущий адрес, на адрес нашего реального кошелька. Остаётся нажать кнопку Save, после чего, сайт предупредит нас, что эта операция будет стоить 100 TRX. Соглашаемся, и проводим транзакцию. 7. Готово Теперь вы можете смело пополнить Scam кошелёк своими USDT на ETH, и скамить хомячков, которые будут пополнять кошелёк, чтобы вывести USDT

Тема с sskinopoisk, kinopoisk.gg, kinopoiskk.ru, freekinopoisk.ru, уже давно не работает, поэтому перед вами свежий способ, который позволит пользоваться онлайн-кинотеатром не тратясь на платную подписку. 1. Переходим на сайт; 2. Выбираем фильм или сериал и переходим на страницу; 3. В адресной строке добавляем top перед kinopoisk.ru/названиевашегофильма/, так что бы получилось https://www.topkinopoisk.ru/названиевашегофильма/; 4. Переходим по адресу, после чего откроется плеер с выбранным фильмов или сериалом; └ Так же рекомендую использовать расширение uBlock, оно спасет Вас от рекламы; 5. PROFIT! Таким образом можно смотреть все фильмы и сериалы из каталога бесплатно с любых устройств

Дорки-это список определенных запросов в поисковик, используемый в процессе (выкачивания с сервера) баз сайтов. mdork - это инструмент, созданный с помощью python для выполнения dorking, а затем собирает все домены, связанные с dork. Установка: pkg install python2 pip2 install mechanize pkg install git git clone https://github.com/Ranginang67/M-dork cd M-dork python2 mdork.py Дальше нам необходимо ввести пример дорки, чтобы нам вывелись результаты.

Всем привет, сегодня мы с вами рассмотрим программу, которая поможет нам в создании словарей для брутфорса Брутфорс (от англ. brute force — грубая сила)— метод угадывания пароля (или ключа, используемого для шифрования), предполагающий систематический перебор всех возможных комбинаций символов до тех пор, пока не будет найдена правильная комбинация. Запускаем настроенный Termux (я покажу на примере Andrax), а далее качаем с гитхаба репозиторий: git clone https://github.com/Bitwise-01/Passwords Переходим в директорию cd Запускаем: python passgen.py Теперь, если вы знаете информацию о человеке, например его имя, дату рождения, его увлечения, то эту информацию можете написать в программе: После каждого написанного слова нажимаем Enter. Можно использовать информацию в разных форматах. Например написать имя по разному: Для генерации словаря пишем generate: В файле pass.txt вы найдёте сгенерированный словарь: На этом всё

Всем привет, сегодня я покажу вам еще один очень интересный репозиторий, который поможет вам установить и использовать огромное количество утилит, в том числе и для пентестинга Пентест — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Процесс включает в себя активный анализ системы на наличие потенциальных уязвимостей, которые могут спровоцировать некорректную работу целевой системы, либо полный отказ в обслуживании. Скрипт содержит в себе следующее: Сбор информации Атаки паролей Тестирование беспроводной связи Инструменты эксплуатации Спуфинг Веб-пентест, и сама установка скрипта Сбор информации: Nmap Setoolkit Port Scanning Host To IP wordpress user CMS scanner XSStrike Dork - Google Dorks Passive Vulnerability Auditor Scan A server's Users Crips Атаки паролем: Cupp Ncrack Сетевой пентест: Drupal Hacking Inurlbr Wordpress & Joomla Scanner Gravity Form Scanner File Upload Checker Wordpress Exploit Scanner Wordpress Plugins Scanne Установка : pkg install git pkg install python git clone https://github.com/thehackingsage/hacktronian.git cd hacktronian chmod +x hacktronian.py python2 hacktronian.py После чего у нас откроется примерно такое окно: Далее как и в обычном репозитории мы выбираем цифрой, нужный нам пункт, и запускаем ту или иную команду.

Есть способ обхода на IOS для просмотра и выкладывании видео в TikTok в России в 2022 году Сразу к делу: 1. Настройки Заходим в настройки своего айфона — Переходим в Основные — Затем листаем ниже —Заходим в "Язык и регион" — С региона Россия меняем на Казахстан — Айфон перезагрузится 2. SIM-Карта Вынимаем SIM-Карту из SIM-лотка У кого ESIM - Переходим в настройки - Сотовая связь - Сотовые тарифы - Ваш номер - Выкл. 3. VPN VPN обязательно должен быть со сменой страны Я рекомендую Proton VPN Подключаемся к VPN и открываем TikTok 4. Настройки TikTok Чтобы вам в Реках не попадались казахские видео, переходим в профиль - три линии (в правом верхнем углу) - настройки и конфиденциальность - предпочитаемый контент - русский 5. Перезаходим в приложение TikTok Заходим в поиск и ищем любой американский или русский акк Заходим на последний видос и если видео выложено позже 24.04, то все получилось 6. Если нет ищем другой акк, а если и так не получилось, значит вам нужно скачать другой VPN 5. Выложить видео Для того чтобы выложить видео нам надо зайти в профиль и выйти из своего аккаунта, а затем зайти в него снова! Все готово! Теперь вы сможете смотреть и выкладывать видео, если, конечно, соблюдать первые 3 пункта

Всем привет! Я думаю, что многие разработчики слышали, что нельзя доверять никакому вводу пользователя, и это действительно так. Однако есть некоторые места, которые часто упускаются из виду, что приводит к уязвимостям. И одно из таких мест ……. регистрация Возможно, это не то, что вы хотели услышать, но позвольте мне объяснить. При регистрации нового пользователя или обновлении его данных разработчики не забывают валидировать поля ввода, но что будет, если мы поместим полезную нагрузку прямо в аккаунт Google (в поля имени и фамилии), а затем зарегистрируемся на сайт через этот аккаунт? Мы можем получить сохраненный XSS. Перейдем к примеру Около месяца назад я начал свое исследование одной из программ вознаграждения за обнаружение ошибок, и с их разрешения я могу раскрыть подробности. это был TimeWeb Ltd — российский хостинг-провайдер. Как всегда, я начал с регистрации учетной записи, чтобы расширить сферу своей деятельности. Чтобы сэкономить время, я решил зарегистрироваться через социальные сети, используя для этого аккаунт Яндекса (Яндекс — российский аналог Google), где мое полное имя «>{{7*7}}<img> <img src="https://telegra.ph/file/44d560b5fb32c2bb19ca7.png" itemprop="contentUrl" id="NtLK" width="1239" height="401"> И после регистрации через эту вредоносную учетную запись Яндекса, в моем общедоступном профиле TimeWeb я увидел «>49<img>. Код выполнен, значит, мы можем провести XSS-атаку. Нам просто нужно зарегистрировать учетную запись Яндекса со следующим именем: Код: {{constructor.constructor(‘alert(`XSS`)’)()}} Но вот проблема. Мы не можем зарегистрировать такой аккаунт из-за ограничений на количество спецсимволов в поле имени. Решение довольно простое, разделите полезную нагрузку на две части, одну часть для имени, а другую для фамилии. А поскольку полное имя находится в одном теге <span>, полезная нагрузка будет объединена. <img src="https://telegra.ph/file/c533eed21281842937f5f.png" itemprop="contentUrl" id="zjKw" width="1178" height="463"> Нам достаточно зарегистрироваться через учетную запись Яндекса на целевом сайте. И Бум…. У нас есть XSS-уязвимость. <img src="https://telegra.ph/file/1eb2b5ddf79f1612ae78f.png" itemprop="contentUrl" id="P1Re" width="1400" height="640"> Мне также удалось взломать довольно много сайтов таким образом. PS: Учетная запись Google не может использоваться для использования XSS, поскольку Google ограничивает ввод некоторых символов, но ее все же можно использовать для поиска множества других ошибок. Однако есть несколько других сервисов, таких как Steam, Amazon, которые могут быть полезны для подобных атак.