• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Как я пыталась обмануть фишинговую страницу и что из этого получилось

S

Sniff

Решила поиграться с фишингом и попытаться его обмануть. Регаюсь на сайте анекдот.ру, затем, беру программушку, которая создает фишинговые страницы любого сайта. Создаю и поднимаю страницу входа на сайт анекдот.ру (см. в красном квадрате адрес) и ввожу туда почту с паролем. Но, пароль ввожу по хитрому.

tmpLhEZvI.png





Хренушки обманешь. Подробнее, как вводила пароль vfvfvskfhfve но путанно, сначала ввела вот этот кусок vskfhfve, затем впереди этот vfvf. по идее, утилита должна была получить вот такой пароль vskfhfvevfvf а получила вот шо



tmpRqY112.png



Пароль, сцуко, весь как он есть! Тестировала с утилитой weeman

Программулина, ишо в лог к себе записала стыренные почту с паролем

tmpGP_YAQ.png

Уппс, мой эксперимент не удался! Па фсей морде получи!
 
  • Нравится
Реакции: DefWolf и n01n02h
C

Citizen0

Green Team
07.02.2017
203
228
BIT
0
Sniff сказал(а):
по идее, утилита должна была получить вот такой пароль vskfhfvevfvf
Нажмите, чтобы раскрыть...
Откуда такое предположение?
Вы заполняете поля, а затем отправляете форму. И в поле password значение, которое Вы ввели. И не важно каким образом.
Это же не кейлоггер.
 
  • Нравится
Реакции: n01n02h, Vertigo и Vander
S

Sniff

Citizen0 сказал(а):
Откуда такое предположение?
Вы заполняете поля, а затем отправляете форму. И в поле password значение, которое Вы ввели. И не важно каким образом.
Нажмите, чтобы раскрыть...
С другой программой тестировала AnePhish, получалось. А не надо надеяться на то, какая прога создает фишинговые страницы и таким макаром вводить пароль. Может и те авторы уже исправили косяки в своей утилите. Лучше, не ходить по ссылкам и быть очень осторожными. Разве не так?

HtOnion сказал(а):
Улыбнуло))
Нажмите, чтобы раскрыть...
Как умею, так и развлекаюсь. )) Ишо с шифровальщиками баловалась.

Citizen0 сказал(а):
Откуда такое предположение?
Вы заполняете поля, а затем отправляете форму. И в поле password значение, которое Вы ввели. И не важно каким образом.
Это же не кейлоггер.
Нажмите, чтобы раскрыть...
Не все кейлоггеры, умеют то же самое, шо и weeman, некоторые можно запутать.

HtOnion сказал(а):
Улыбнуло))
Нажмите, чтобы раскрыть...
Я рада, шо мои простенькие эксперименты, вызвали улыбку у опытного человека.
 
S

Sniff

Sniff сказал(а):
С другой программой тестировала AnePhish, получалось. А не надо надеяться на то, какая прога создает фишинговые страницы и таким макаром вводить пароль. Может и те авторы уже исправили косяки в своей утилите. Лучше, не ходить по ссылкам и быть очень осторожными. Разве не так?
Нажмите, чтобы раскрыть...
Не смотрела в код этой утилиты, всёравно ниче там не пойму. Но одно ппоняла, все введенные данные, на фальшивую, страницу, хоть кувырком вводите у weeman срабатывает чтото наподобие умного скрипта, не очень в этом разбираюсь, Вернее, он согласовывается во скриптом сайта. Если я не права, то объясните, почему weeman нельзя обмануть?
 
N

n01n02h

Sniff сказал(а):
Не смотрела в код этой утилиты, всёравно ниче там не пойму. Но одно ппоняла, все введенные данные, на фальшивую, страницу, хоть кувырком вводите у weeman срабатывает чтото наподобие умного скрипта, не очень в этом разбираюсь, Вернее, он согласовывается во скриптом сайта. Если я не права, то объясните, почему weeman нельзя обмануть?
Нажмите, чтобы раскрыть...
Дело в том что weeman это не кейлогер который перехватывает нажатия клавиш. Weeman создает фишинг страничку и собирает данные которые передаются через форму ввода, данные собираются уже после нажатия кнопки войти или отправить, т.е все равно как вы будете вводить данные, важно то какие данные отправятся
 
  • Нравится
Реакции: Vertigo и nikos
nikos

nikos

Green Team
25.12.2016
507
198
BIT
0
Ну что могу сказать это не статья по защите от фишинга! Это больше баловство с инструментоми проверка их возможностей ну и одновременно "тестирование на слабые места" но не как не статья по обману фишинга.

По мне так лучший обман это в поле логина написать пошел ну а в поле пароля самзнаешькуда
И то если на странице кроме скрипта сбора данных из поля авторизации нет что-то типа вредоносного ява скрипта
 
Последнее редактирование:
S

Sniff

nikos сказал(а):
Ну что могу сказать это не статья по защите от фишинга! Это больше баловство с инструментоми проверка их возможностей ну и одновременно "тестирование на слабые места" но не как не статья по обману фишинга.

По мне так лучший обман это в поле логина написать пошел ну а в поле пароля самзнаешькуда
И то если на странице кроме скрипта сбора данных из поля авторизации нет что-то типа вредоносного ява скрипта
Нажмите, чтобы раскрыть...
Интересно было проверить. Любопытство чайниковское или как назвать.
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ