а если открыть исходник страницы https://www.uiscom.ru/user/, то увидишь

что твой пароль отправляется по htp

это значит, что на странице есть http - контент

+

Mixed Content: The page at 'https://www.uiscom.ru/user/' was loaded over a secure connection, but contains a form which targets an insecure endpoint 'http://app.uiscom.ru/login/'. This endpoint should be made available over a secure connection.

Была вроде в нем уящвимость, когда с помощью js можно было подменить отображаемое в адресной строке, может и тут что-то не так? )

Так это же не уязвимость реактjs так может

что твой пароль отправляется по htp

Как далекому прошу пояснить. Подразумевает ли данный способ отправку логина и пароля текстом, то есть перехват снифером?

да

если, конечно, не найдется client-side js, который чего-нибудь захеширует

Чисто эмпирически заснифферить да проверить

Зато 100% уже знать будешь, если важно.

flibusta сломали?

flibusta сломали?

А должны были?

Была вроде в нем уящвимость, когда с помощью js можно было подменить отображаемое в адресной строке, может и тут что-то не так? )

Кстати, этот вопрос очень интересует

если Chrome не маркирует зеленым замочком в адресной строке адрес, а он, все же, https, Это норма?

Да, в зависимости от типа сертификат (и соотвественно уровня валидации компании) от зеленго https до зеленой плашки как у Twiiter. Сертификаты, которые дают плашку, стоят от 30к. > Вроде зеленая рамочка с указанием названия компании - это EV (Extended validatuon) сертификаты. Вот правильный ответ :) > это значит, что на странице есть http - контент Когда mixed content, chrome насколько я помню использует желтый замок, а при нажатии на него показывает список небезопасных элементов, загруженных по HTTP. Реакт не может ничего, что не может JS :) Вы не о HTML5 History API (pushState)?

Да, в зависимости от типа сертификат (и соотвественно уровня валидации компании) от зеленго https до зеленой плашки как у Twiiter. Сертификаты, которые дают плашку, стоят от 30к. > Вроде зеленая рамочка с указанием названия компании - это EV (Extended validatuon) сертификаты. Вот правильный ответ :) > это значит, что на странице есть http - контент Когда mixed content, chrome насколько я помню использует желтый замок, а при нажатии на него показывает список небезопасных элементов, загруженных по HTTP. Реакт не может ничего, что не может JS :) Вы не о HTML5 History API (pushState)?

Спасибо =)

Спасибо =)

если интересно https://habrahabr.ru/company/regru/blog/280878/

Митм атаку на своё ссл соединние сложно организовать?

можно

а зачем?

Чтобы чарликом было просто снифать

организовываю такое каждый раз, когда запускаю burpsuite

А с помощью этой утилиты для пентеста можно пакеты на лету менять?

Вам нужно что-то написать в правилах конфы про гугл

А с помощью этой утилиты для пентеста можно пакеты на лету менять?

О боже

! google == ban 8))

Я загуглил, по скриншотам не понятно

Крафтитб пакеты вручную?

А с помощью этой утилиты для пентеста можно пакеты на лету менять?

конечно нет, она умеет только проксировать

(за сарказмъ не баньте)

В кратце, если тебя инересует только HTTP, то burp

?

Иначе MITMf и прочие

read 'burpsuite tips and tricks' or 'burpsuite 101'

Ладно, спасибо

там тебе расскажут про всё что крутое может отрыжка

Чтобы чарликом было просто снифать

Fiddler?

Fiddler?

+++

Fiddler?

спасибо

Fiddler?

а барп по религиозным причинам не используете?

а барп по религиозным причинам не используете?

Привык к нему как-то. Будто бы для меня писали :)

Хотя только на винде он норм, в других ОС - боль. Колюсь, но продолжаю есть кактус.

только бурп, только бурп.

! google == ban 8))

+, надо вводить

Хотя только на винде он норм, в других ОС - боль. Колюсь, но продолжаю есть кактус.

.net же...)

В кратце, если тебя инересует только HTTP, то burp

все кричат что бурп с ssl не дружит, хз я сертификат поставил портсвиггеровский и все норм стало

все кричат что бурп с ssl не дружит, хз я сертификат поставил портсвиггеровский и все норм стало

я и на андроиде поставил. почти всё норм

тот кто кричит, что не дружит, не понимает как это работает

все кричат что бурп с ssl не дружит, хз я сертификат поставил портсвиггеровский и все норм стало

это первая статья из документации. Это не mspaint, надо и справку читать.

все кричат что бурп с ssl не дружит, хз я сертификат поставил портсвиггеровский и все норм стало

Там была трабла, недавно исправили

Оно не у всех работало

тот кто кричит, что не дружит, не понимает как это работает

нене ребят аграмотные кричали похоже какойто баг был и ссл просто не в какую не работал

тот кто кричит, что не дружит, не понимает как это работает

Тот кто кричал неделю сражался с техподдержкой и победил, да и чела лично знаю, он лучше меня в ИБ шарит

интересно теперь, что за баг))

Доброе утро. Посоветуйте книжку, плз, в отпуск. В идеале, если будет в продаже бумажный вариант. Митника читал. Хочется что-то по легкости с фрикономиками сравнительное, и в целом любопытное. Заранее спасибо

Доброе утро. Посоветуйте книжку, плз, в отпуск. В идеале, если будет в продаже бумажный вариант. Митника читал. Хочется что-то по легкости с фрикономиками сравнительное, и в целом любопытное. Заранее спасибо

Форензика - Федотов Н.Н

Форензика - Федотов Н.Н

+

Форензика - Федотов Н.Н

на тостере\хабре были еще ссылки по этому вопросу.

Форензики нет в бумажном варианте до 23 мая ни у кого? :-( в продаже нет. В электронном лежит давно

Хотя, можно и распечатать и прошить!

Форензики нет в бумажном варианте до 23 мая ни у кого? :-( в продаже нет. В электронном лежит давно

тоже искал так и не нашел, в инфоватч вроде как были подарочные в бумажном.

Ну KingPIN переводной с Хабра The Circle от Dave Eggers как легкое чтиво на тему охерения от гугла )

Ну KingPIN переводной с Хабра The Circle от Dave Eggers как легкое чтиво на тему охерения от гугла )

KingPIN вроде еще не перевели полностью?

А там сколько уже, почти 30 глав вроде, на отпуск хватит )

Kingpin вполне легко читается и на английском языке. Книга интересная и легкая.

http://rusbase.com/news/russian-hackers/

Ещё про белорусских кардеров вроде норм книжечка, Павлович автор что ли

http://rusbase.com/news/russian-hackers/

Grace! )

http://rusbase.com/news/russian-hackers/

Ветерок, ты почему не участвовал?

Ветерок, ты почему не участвовал?

он на RUCTF был

да 100% по vpn сидели )

он на RUCTF был

Такая себе альтернатива Екб или Шанхай

да 100% по vpn сидели )

Сейчас узнаем )

Такая себе альтернатива Екб или Шанхай

ну так, в RUCTF не все в силу возраста участвовать могут

ничего он ещё на финал defcon съездит, благо уже ездил ) p.s. если с работы отвустят

220 :)

Всем здрасьте

привет!

Приветы

✌

привет

qq

Парни и дамы. Вардрайверы есть?

Кто юзает tp link

Я

Какой именно?

Меня Альфа подводит(

Кто юзает tp link

+

Мне интересна модель. Для работы с ривером

Какой именно?

wn722