მემაპატიეთ ბექტრაკში შემეშალა
ამის გიტლოგს გადავხედე და დაყავს რამოდენიმე აქტიური დეველოპერი.
ძირითადად ფექიჯინგით არიან დაკვებულნი.
* * *
ადრე როცა საქმე არ მქონდა და არაფრის აზრზე არ ვიყავი გავერთე ცოტა. არც js ვიცოდი. არც node-ი და არც python-ი.
რამდენიმე ჰოსტზე მქონდა წვდომა.
საკუთარი DNS გავაკეთე რომელზეც hook.js დავჰოსტე და ამ ჰოსტებს ჩემს DNS-ით ვაკატავებდი ინტერნეტში.
შეტევისთვის ერთერთი ვექტორი რაც გამოვიყენე მხოლოდ იყო client-side browser exploitation.
ერთადერთი რაც მაშინ მოვიფიქრე იყო. BeEF და hook.js
და კი გავერთე საკაიფოდ. არაფერი გამიფუჭებია და არც მომიპარავს.
უბრალოდ წვდომა მქონდა მთლიადად http ტრაფიკზე. ვიცოდი სად დადიოდენ ვებში და შემეძლო ნებისმიერი რამის injection-ში ნებისმიერ ვებ გვერდში უფრო სწორედ. http ტრაფიკში მარტო. https- არა რადგან ssl სერტიფიკატებზე შეცდომას ამოუგდებდა. ssl bump-ი აღარ მიჩალიჩია.
ეს ყველაფერი იყო საგანმანათლებლო მიზნებით და ასეც მოხდა. ამის მერე გამიჩნდა JS სწავლის მუღამი და ვისწავლე კიდეც.
რის გაკეთება შეიძლება კიდევ, როცა კლიენტის ბრაუზერის კონტროლი გაქვს. JS-ით რა შეიძლება კიდე ქნა? LocalStorage-ი ხომ შეიძლება გამოიყენო და ფერმანენთ ქუქი შეტენო. კლიკებზეც გექნება კონტროლი. მაუსზე. ვებკამერაზე.
არაფრის გამფუჭებელი არ ვარ და არც არასდროს ვყოფილვარ და არც ვიქნები.
უბრალოდ საგანმანათლებლო მიზნები ქონდა ამ ყველფერს და ინტერესი და მუღამი ამან გამიჩინა JS-ის მაშინ.
ეს ყველაფერი იმიტომ დავწერე რომ მართლა გამოტივაციებს და მეტის სწავლის სურვილს გიჩენს.
ზოგი ბოროტად გამოიყენებს ზოგი არა. მაგრამ სწავლის სურვილს გიჩენს. ჰოდა i did it for the LuLz.
არაფრის გაფუჭება არ მინდა უბრალოდ მაინტერესებს. რის გაკეთება შეიძლება როცა client-ს შეგიძლია სკრიპტი გატენო ?
* * *
ამიტომ გადირკული windows პაპაჩემის დროინდელით არ უნდა იმოძრაო.
სერიოზულს ვერაფერს დააკლეებ ვერავის თუ 20წლის წინანდელი სისტემით არ მოძრაობს.
მაგრამ კარგია რომ მოძრაობენ. ვინმე ჩემნაირს მუღამში ჩააგდებენ და წავა ის ვინმე და მეტს ისწავლის.
განა იმისთვის რომ რამე გააფუჭოს არამედ რო განათლდეს.
* * *
ეხლაცაა შემიძლია მინიმუმ 10 -ი ჰოსტში ძალიან თავისუფლად შეძრომა.
ელემენტალური უსაფრთხოების წესების არ დაცვის გამო. ძალიან ელემენატლური.