Продолжаю взламывать сайты через XSS | Веб Кибербез PortSwigger
HTML-код
- Опубликовано: 1 авг 2024
- Снова на портале PortSwigger. В лайв-режиме беру следующие 5 лабораторок и пытаюсь их побороть.
00:00 Вступление
01:10 Лаба 1 (onhashchange)
22:10 Реализация (рука-лицо)
25:25 Лаба 2 (внутри инпута)
42:25 Лаба 3 изи (инжект в href)
46:15 Лаба 4 (разбить строку)
51:40 Лаба 5 (сломать select)
Присоединяйся к сообществу в телеграм
t.me/doctorponos
#javascript #cybersecurity #coding #education
Больше взломов в моём телеграме:
t.me/doctorponos
Спасибо, полезный материал
О, красава братан. Я тоже начинал на Свиггере. ТОже полностью всё закрыл года 2 назад.
Не бросай это дело! Нам нужны специалисты!
Респект! Продолжай в том же духе! А вот чтобы ускорить процесс выхода в топы Ютуба придется юзать всякие платные тимы типа ютифай или ютуб адс. Такие ролики как твои должны быть популярны)
Круто получилось, подписался :D
классный контент. Мне кажется было бы еще круто видосы на CTF. Я бы с радостью порешал CTF 🙏🏻 удачи с каналом
Продолжай в том же духе! Не понимаю, почему тут мало подписоты так ;(
хорошее видео, ломай дальше эти чертовы сайты нахер
Крутяк
подскажи, как вкатился в тему кибербеза? с чего начинать?
Чтобы всегда видеть адрес в яндекс браузере нужно в настройках снять галочку с пункта: Отображать адреса страниц в виде
Рад что нашел твой канал.
Автор, вопрос: можно ли скачать с сервака то что нужно? Есть программы, часть функционала которых лежит на серваке и они обращаются к нему, или есть сайты, полезный функционал которых тоже лежит на серваке (например нейросеть, убирающая водяной знак с фото) - можно ли подломать сервак и скачать нужное, чтобы все было локально?
Хороший вопрос! Полагаю, у меня недостаточно экспертизы, чтобы полноценно ответить на него, но я могу поделиться своими мыслями. Теоретически, это может быть возможно. Сразу отмечу, что если на сервере крутится большая нейросеть, то для её локального запуска потребуются мощные GPU. Также может понадобиться доступ к терабайтам обучающих данных для её тренировки и калибровки.
Если поразмышлять над векторами атак, то я бы попробовал такие:
- прошерстить сервер запросами ../../etc/shadow и напрямую поискать конфиги и другие чувствительные данные
- получить список зависимостей приложения, попытаться найти уязвимости в них и атаковать через dependency injection
- почекать корректно ли разработчики скрыли креды для подключения внутри Docker контейнеров
- поискать исходный код приложения в публичном Git репозитории
- найти уязвимость API, что позволит не запускать локально, а кидать запросы бесплатно в обход ограничений
Хз, как-то так =))
@Grentanksmog Куча мощных GPU и данных для обучения требуется только на стадии обучения. Нейросеть встраивается в приложение (если уж она в породе уже !), так что "вытянуть" нейросеть никак нельзя ! Но последний вариант обхода ограничений - самый реальный.
@Fillmore634b Все уже взломано до тебя. Ищи полезный функционал на трекерах. Либо ищи тестовые он-лайн приложения, которые предлагают нужный тебе функционал.
Классный видос, но звук скачет по разным сторонам
Привет я новенький - с чего начать?
Военкомат в закладках?)) 😅
Имхо, занимаешься взломами и не знаешь толком английский язык и тем более синтаксис jQuery?
дай бог чтобы уже никто этот JQuery не знал
взломай пожалуйста лохо проекты по типу инвестируй через день получи 2х таких куча
Любопытно! Спасибо за идею, чекну =)
Ага, а через неделю его холодным и дурно пахнущим найдут в лесу. За лохотронщиками всегда стоят игроки посерьезнее
Чем такие проекты мешают лично тебе?
@@liker12345ffff бесит а ты создатель?
Это противозаконно
Этот ламер даже браузер не знает как привести в порядок, а корчит из себя хакера.
Ахаха, дааа. Ламер -- не слышал этого слова уже лет 20 =)))
@@Grentanksmogда ламер это жестко ахахахх. Вот это он вспомнил 😅
Это взлом для идеотов .
DOM это объект создаваемый браузером на основе html. Это не взлом сайта, а браузера недоавтора. Какой же бред тут происходит.
Дом создаётся на стороне браузера -- это правда. Поэтому и опасно, что на твоём компе будет создан злоумышленный код, который украдёт твои данные для меня.
Приходи на мой доклад на следующую конференцию MoscowJS -- покажу, как этот взлом позволяет своровать пароли и аккаунты.
Вот это ты тугой конечно.
Ахахаха, дааа =))) Мне ещё практиковаться и практиковаться.
Подкинь задач, если у тебя есть что-то интересное
@@Grentanksmog Напиши деобфускатор для Kasada кода.
@@Grentanksmog В комментариях много токсичных людей, которые без ошибок за 10 минут прошли все лабораторные, имея с рождения все необходимые знания, не сидели по несколько часов над одной задачей, в общем одни успешные люди на диване
@fadeadfadead7767 Ну, так и есть ! Ты - один здесь круглый балбес.
Это не исполнитель духаст вячеславыч? Похож
Покажи как взломать доступ к инстаграмму из России ? )