Веб-уязвимости и кардинг Всем привет! Уже давно мне надоело покупать на свои деньги в магазинах, где они занимаются покупкой кредитных карт, таких как Brians Club, Ronaldo, prozone, Vclub и другие честно говоря, я могу сказать, что рекомендую им зарабатывать деньги с небольшими вложениями, если коротко. Я решил поставить себе задачу — получить свои собственные карты, и этот вызов привёл меня на этот форум и многие другие, ведь я практически новичок здесь После всего этого я хотел бы задать вопрос: как мне получить свои собственные кредитные карты? Многие ответят: Выполняйте фишинг и перенаправляйте трафик с помощью ADS или используйте SMS-отправитель, что, хотя и очень просто и не так эффективно в некоторых случаях, может работать. Но сегодня я проснулся с желанием применить на практике свои долгие ночи изучения веб-пентестинга, поэтому оставлю короткий список информации, которую нашёл на основе искусственного интеллекта о используемых в настоящее время техниках, и надеюсь, что каждая из них даст ответ, работает ли она или просто мусор, Я принимаю рекомендации, так как у меня нет привилегированного ума, но хотел бы узнать немного больше просто ради вызова, а не ради тщеславия. Вот информация, которую я собрал о том, как я могу получить свой собственный CCS, поправьте меня и порекомендовать как профессиональных джентльменов:
Распространённые методы, используемые злоумышленниками (объяснение для защиты и пентеста) 1. Цифровое скимминг / Magecart (вредоносная инъекция JS) Злоумышленники вставляют вредоносный JavaScript на страницу платежей, чтобы собрать данные карты до их отправки процессору. ✔ Признаки, на которые стоит обращать внимание в пентесте: Внешние JS-файлы, загруженные из подозрительных доменов. Несанкционированные изменения в легитимных скриптах. Динамическая загрузка зашифрованного или обфусцированного JS. Модификация DOM для перехвата форм. ✔ Как этично моделировать/анализировать: grep -R "<script" /var/www/html В динамическом тесте: Перехватите трафик с помощью Burp Suite, чтобы проверить, изменяют ли внешние скрипты формами. Используйте Burp Comparator для обнаружения неожиданных изменений между версиями сайта. ✔ Меры по смягчению последствий: CSP (script-src «себя»). SRI (Целостность субресурсов). Проверка целостности в CI/CD. 2. Перехват форм по HTTP (MITM) Если сайт использует HTTPS неправильно, злоумышленник может перехватить учетные данные и номера карт. ✔ Что должен проверить пентестер: Неправильно настроены перенаправления HTTP → HTTPS. Слабый TLS или отсутствие HSTS. Контент смешанный. ✔ Как проверить: Sudo sslyze — обычный dominio.com
in english:
Web vulnerabilities and carding
Hello everyone! I’ve long been tired of buying with my own money in stores that deal with buying credit cards, such as Brians Club, Ronaldo, prozone, Vclub and others. Honestly, I can say that I recommend them for making money with small investments, in short.
I decided to set myself a task — to get my own cards, and this challenge brought me to this forum and many others, since I’m practically a beginner here.
After all this, I would like to ask a question: how can I get my own credit cards?
Many will answer: do phishing and redirect traffic using ADS or use an SMS sender — which, although very simple and not very effective in some cases, can work.
But today I woke up wanting to put into practice my many nights of studying web pentesting, so I’ll leave a short list of information I found based on artificial intelligence about techniques used nowadays, and I hope each of you can tell me whether they work or are just garbage. I accept recommendations, since I don’t have a privileged mind, but would like to learn a bit more just for the challenge, not for vanity.
Here is the information I gathered about how I could get my own CCs, correct me and recommend as professional gentlemen:
Attackers inject malicious JavaScript into a payment page to collect card data before it is sent to the processor.
Pentesting signs to look for:
How to ethically simulate/analyze:
grep -R "<script" /var/www/html
Dynamic test:
Intercept traffic using Burp Suite to check if external scripts manipulate forms.
Use Burp Comparator to detect unexpected changes between site versions.
Mitigations:
If a site uses HTTPS incorrectly, an attacker can intercept credentials and card numbers.
What a pentester should verify:
How to test:
sudo sslyze --regular dominio.com
Распространённые методы, используемые злоумышленниками (объяснение для защиты и пентеста) 1. Цифровое скимминг / Magecart (вредоносная инъекция JS) Злоумышленники вставляют вредоносный JavaScript на страницу платежей, чтобы собрать данные карты до их отправки процессору. ✔ Признаки, на которые стоит обращать внимание в пентесте: Внешние JS-файлы, загруженные из подозрительных доменов. Несанкционированные изменения в легитимных скриптах. Динамическая загрузка зашифрованного или обфусцированного JS. Модификация DOM для перехвата форм. ✔ Как этично моделировать/анализировать: grep -R "<script" /var/www/html В динамическом тесте: Перехватите трафик с помощью Burp Suite, чтобы проверить, изменяют ли внешние скрипты формами. Используйте Burp Comparator для обнаружения неожиданных изменений между версиями сайта. ✔ Меры по смягчению последствий: CSP (script-src «себя»). SRI (Целостность субресурсов). Проверка целостности в CI/CD. 2. Перехват форм по HTTP (MITM) Если сайт использует HTTPS неправильно, злоумышленник может перехватить учетные данные и номера карт. ✔ Что должен проверить пентестер: Неправильно настроены перенаправления HTTP → HTTPS. Слабый TLS или отсутствие HSTS. Контент смешанный. ✔ Как проверить: Sudo sslyze — обычный dominio.comin english:
Web vulnerabilities and carding
Hello everyone! I’ve long been tired of buying with my own money in stores that deal with buying credit cards, such as Brians Club, Ronaldo, prozone, Vclub and others. Honestly, I can say that I recommend them for making money with small investments, in short.
I decided to set myself a task — to get my own cards, and this challenge brought me to this forum and many others, since I’m practically a beginner here.
After all this, I would like to ask a question: how can I get my own credit cards?
Many will answer: do phishing and redirect traffic using ADS or use an SMS sender — which, although very simple and not very effective in some cases, can work.
But today I woke up wanting to put into practice my many nights of studying web pentesting, so I’ll leave a short list of information I found based on artificial intelligence about techniques used nowadays, and I hope each of you can tell me whether they work or are just garbage. I accept recommendations, since I don’t have a privileged mind, but would like to learn a bit more just for the challenge, not for vanity.
Here is the information I gathered about how I could get my own CCs, correct me and recommend as professional gentlemen:
1. Digital skimming / Magecart (malicious JS injection)
Attackers inject malicious JavaScript into a payment page to collect card data before it is sent to the processor.
Pentesting signs to look for:
- External JS files loaded from suspicious domains.
- Unauthorized changes to legitimate scripts.
- Dynamic loading of encrypted or obfuscated JS.
- DOM modifications that intercept forms.
How to ethically simulate/analyze:
grep -R "<script" /var/www/html
Dynamic test:
Intercept traffic using Burp Suite to check if external scripts manipulate forms.
Use Burp Comparator to detect unexpected changes between site versions.
Mitigations:
- Strict CSP (script-src 'self').
- SRI (Subresource Integrity).
- Integrity checks in CI/CD.
2. Form interception over HTTP (MITM)
If a site uses HTTPS incorrectly, an attacker can intercept credentials and card numbers.
What a pentester should verify:
- Misconfigured HTTP → HTTPS redirects.
- Weak TLS or missing HSTS.
- Mixed content.
How to test:
sudo sslyze --regular dominio.com
