Бесплатный анализ безопасности сайта

Автор ProtectYourSite, 08-05-2016, 12:59:02

« назад - далее »

Старый

Цитата: ProtectYourSite от 09-05-2016, 11:07:16Тут ближе у социнженерии идёт

Очень интересно.  :)
А подробнее?!
Не совсем понимаю, как можно автоматизировать социнженерию. Это всё-таки общение подразумевает.


ProtectYourSiteTopic starter

Цитата: Старый от 09-05-2016, 11:12:04
Не совсем понимаю, как можно автоматизировать социнженерию. Это всё-таки общение подразумевает.
Тут может подразумеваться более расплывчатое понятие. В стандартном виде социнженерия - это ты общаешься с жертвой, узнаешь имя её любимой собаки и восстанавливаешь  потом пароль от ящика. В более продвинутых вариациях я встречал, к примеру создание фейковой страницы ВК, где введенные пароли сохраняются и потом могут использоваться не только для входа в ВК, но и в ту же почту. Для меня сама концепция заключается в нахождении угроз безопасности, которые массово не считаются уязвимыми, а значит по дефолту не меняются. Чтобы бы более понятно, это из примера выше одинаковые пароли на почту и ВК, и при этом здесь не важно общение. Возможно, это называется и как-то по -другому, но в той же сфере безопасности очень много не поддается толковой классификации.


Старый

Цитата: ProtectYourSite от 09-05-2016, 11:30:24к примеру создание фейковой страницы ВК, где введенные пароли сохраняются и потом могут использоваться не только для входа в ВК, но и в ту же почту

Это фишинг.

ProtectYourSiteTopic starter

Цитата: Старый от 09-05-2016, 11:40:43
Это фишинг.
Фишинг - это кража паролей, а их применение на другие сайты, это уже  косвенная уязвимость. Именно применение в совокупности косвенных методов я и пытаюсь изучить.

Старый

Цитата: ProtectYourSite от 09-05-2016, 14:47:39Фишинг - это кража паролей, а их применение на другие сайты, это уже  косвенная уязвимость.

ProtectYourSite, у вас немного путаница в понимании терминов атак.  :)
Направление, в принципе, правильное. Но как-то не совсем правильно.
Что такое "фишинг" и как осуществляется атака?
Фишинг - (дословно) рыбалка.
Создаётся фейковая страница на домене максимально похожем по написанию на "жертвенный", например, www.ok.ru==www.0k.ru==www.0к.ru(к-русская).
Потом непосредствнно атака, почта, телефонные мессенджеры и т.д. Задача-заставить "юзверя ушастого" перейти по ссылке и ввести свои данные.
После ввода, реквизиты сохраняются у вас в базе (отправляются на почту) и "юзверь" POST-запросом перенаправляется на реальную страницу. Далее у "жертвы" всё по плану, за исключением того, что реквизитами он поделился с вами.  :)

Цитата: ProtectYourSite от 09-05-2016, 11:30:24к примеру создание фейковой страницы ВК, где введенные пароли сохраняются и потом могут использоваться не только для входа в ВК, но и в ту же почту.

Вы же сами и описываете принципы фишинга.  :)

Да. Большинство "юзверей" действительно отличаются очень слабой памятью, огромной ленью и отсутствием понимания основ информационной безопасности.  :)

Цитата: ProtectYourSite от 09-05-2016, 14:47:39Именно применение в совокупности косвенных методов я и пытаюсь изучить.

Изучать это конечно же можно и наверное нужно.
Но как вы это собираетесь автоматизировать?
Не просто так интересуюсь.
Жизненный и профессиональный опыт не мал, к тому же сертифицированный специалист по "Информационной безопасности".

Просто пытаюсь понять ваши потуги.
Имеют ли они смысл?!
А может, почуяв реальную пользу, попрошусь к вам "батраком".  :)
Вы хоте ли бы иметь профессионала в команде?  ;)




LOGOS

Очень любопытная тема  :) Проверьте мой сайт, плиз..

[spoiler]dc-logos.ru[/spoiler]

ProtectYourSiteTopic starter

Цитата: LOGOS от 09-05-2016, 19:51:26
Очень любопытная тема  :) Проверьте мой сайт, плиз..

[spoiler]dc-logos.ru[/spoiler]
Ответил в лс

SkyRZN

Здравствуйте!
Проведите пожалуйста анализ вот этого сайта:
[SPOILER]http://www.intourist.travel/[/SPOILER]
  •  


Stasweb

  •  


Kylaksizov

Привет. Проверь пожалуйста этот интернет-магазин:
[spoiler]damiana.com.ua[/spoiler] написан ручками за неделю с нуля, поэтому важно знать есть ли дыры.
Спасибо оставлю.