Тык - инструмент для перехвата кликов

[grozdniyandy]

Тык​

Тык - это инструмент, написанный на Go с целью проверки уязвимостей для перехвата кликов (clickjacking). Он работает путем проверки заголовков безопасности, таких как "Content-Security-Policy" и "X-Frame-Options". Если ни один из них не найден, то инструмент выдаст успешный результат. Он проверяет эти заголовки безопасности как для протоколов HTTP, так и для HTTPS.

GitHub: https://github.com/grozdniyandy/tik
Советую использовать вместе с "Вход" : https://github.com/grozdniyandy/vxod

На какой платформе/фреймворке это написано?​

Эта программа написана на языке программирования Go. Он использует стандартную библиотеку для различных операций и полагается на "goroutines" для параллельного выполнения.

Для чего он используется?​

Эта программа используется для оценки конфигурации безопасности веб-сайтов путем проверки наличия заголовков безопасности, таких как Content-Security-Policy и X-Frame-Options. Эти заголовки играют решающую роль в защите веб-приложений от различных угроз безопасности, таких как межсайтовый скриптинг (XSS) и атаки с перехватом кликов (clickjacking).

Использование​

Обычное использование:

./tik -f domains.txt -t 100

Конечно это ваш выбор, но я советую использовать одно строчки, я пользуюсь вот этим:

./tik -f domains.txt -t 100 > temp.txt && cat temp.txt | grep -oE '[a-zA-Z0-9.-]+\.com' > check.txt && cat check.txt | xargs -P20 -I {} ./vxod {} 2>/dev/null | grep contains > inputs

Приведенный выше код проверяет наличие доменов, уязвимых для перехвата кликов (это делает тык), а затем находит, в каком из доменов есть места для ввода данных (это вход).

Примеры использования в реальной жизни​

Я хочу напомнить вам, что данное программное обеспечение предназначено только для легального использования.

Но чтобы ответить на ваш вопрос, есть статья о том, как я ее использовал: https://xss.pro/threads/101622/
Коммент одного знакомого:
Также мы можем видеть темы на форумах, где хакеры добавляют "iframe" в магазины, с помощью этого программного обеспечения, если у хакера есть список доменов, он / она может быть уверен, можно ли будет добавить iframe в магазин или нет. Поэтому, прежде чем пробовать 1001 способ взлома магазина wordpress, вы можете просто воспользоваться этим инструментом и отсортировать те, которые стоит взломать.

Кнопка бабло?​

Как я уже упоминал в статье:
А если серьезно, в основном получите спасибо котоpый в карман не положишь, но иногда платят, например тут оплатили - https://hackerone.com/reports/405342 - через наш софт автоматизация легкая.

 

[darkcoder_io]

Первый пошёл)

 

[mrsa3ek]

cool ! nice explanation

 

[coree]

Я все понимаю, но когда конкурсные статьи стали настолько короткими и похожими на переводы README с гитхаба? Никаких личных претензий к автору

 

[grozdniyandy]

Я все понимаю, но когда конкурсные статьи стали настолько короткими и похожими на переводы README с гитхаба? Никаких личных претензий к автору

Если вы про статью (https://xss.pro/threads/101622/) - то тут больше 10к символов, я стараюсь всегда писать так чотбы хотя бы ближе к 100$ зарабатывал.

Если вы про этот пост, то тут конкурс проектов (https://xss.pro/threads/101484/) ,а не статей. Тут да, это просто readme где я ответил на вопросы админа:

что это за софт, на чем написан, примеры функций, для чего он нужен, примеры из жизни

короткими и похожими на переводы README с гитхаба

Сопроводительный текст на 2000 символов. Это мало - всего 2 абзаца. Тут можно написать о том, что это за софт, на чем написан, примеры функций, для чего он нужен, примеры из жизни. Фактически, расширенный вариант readme.

 

[coree]

Ага, прочитал, беру слова назад, Чутка спутал))) Теперь думаю, стоит ли на конкурс свой проект совать и как не спалить себя)

 

[weaver]

• Размещение - только у нас на xss.pro. Воровство сорцев после размещения у нас учитываем, это возможно.

Ты уже свой софт "авторский" выложил в паблик. После окончания конкурса можно только выкладывать его еще где то...

Например на github !

 

[ГошаМарков]

Например на github !

Кстати интересный момент на счет гитхаба. Как быть ,если например конкурсный проект это не 2, и не 10 файлов, допустим какой то самописный веб проект.
Выкладывать на конкурс зипом, такое себе, гитхаб тут удобнее, что весь код можно почитать, не скачивая себе.

 

[grozdniyandy]

Кстати интересный момент на счет гитхаба. Как быть ,если например конкурсный проект это не 2, и не 10 файлов, допустим какой то самописный веб проект.
Выкладывать на конкурс зипом, такое себе, гитхаб тут удобнее, что весь код можно почитать, не скачивая себе.

Я отписал админу по этому поводу чтобы хотя бы размер загрузки увеличили. А то вот лежит файл у меня 15 мб зип не могу загружать. Если отпишет какое то решение по этому поводу отпишу тут.

 

[weaver]

Кстати интересный момент на счет гитхаба. Как быть ,если например конкурсный проект это не 2, и не 10 файлов, допустим какой то самописный веб проект.
Выкладывать на конкурс зипом, такое себе, гитхаб тут удобнее, что весь код можно почитать, не скачивая себе.

Таковы правила конкурса. Для участия в конкурсе нужно размещать у нас сорцы.