Как я нашел критичный XSS и потерял около 100к рублей. История.

[Ratom1]

Ты просто напиши кто этот сайт и кто не заплатил тебе и не разводил бы тут сотни строк непонятно о чём)

Похоже, вы не поняли сути всего этого. Даже по окончанию рассказа я не сообщу сайт и данные администрации). Дело в том, что это просто рассказ, как я проводил атаки на ресурс. Не более, чем почитать для новичков. С какой стороны я заходил, что тестировал.

 

[Hehsh372]

Бля, я бы купил книгу у такого писателя)
Читать интересно уж очень

 

[Ratom1]

Бля, я бы купил книгу у такого писателя)
Читать интересно уж очень

От души благодарю за такие слова). Просто было интересно попробовать такой формат рассказов о тестировании.

 

[Grotendique]

Это прям как кибер-детектив. Написано жизненно и искренне, за что уже уважуха!
Подумай о продолжении серии рассказов у взломе других ресурсов. Уверен, что будет не менее увлекательно.
В своих рассказах, ты красиво соединяешь моральные аспекты с техническими.

 

[Ratom1]

Это прям как кибер-детектив. Написано жизненно и искренне, за что уже уважуха!
Подумай о продолжении серии рассказов у взломе других ресурсов. Уверен, что будет не менее увлекательно.
В своих рассказах, ты красиво соединяешь моральные аспекты с техническими.

Благодарю за оценку)

 

[honey8886]

I cordially greet everyone, dear readers!

I'll tell you how I went my short way to this forum and actually to the study of the Shadow and IS.

I am just beginning my journey in the study of information security and ask you not to condemn the stupidity of my actions. The events described in the article happened just a day ago.

Also, I beg your pardon for the lack of article formatting, I am writing from my phone. Spoiler, I also tested it from my mobile, which let me down.

Все началось в далёком 2012 году. Будучи несовершеннолетним я заработал летом тяжким трудом на компьютер! Это было потрясающе. До того момента, я и не ведал, как прекрасно быть обладателем этой железяки. Что? Да, я убил свой винт буквально за недельку. По звонку мастеру я понял, что не потяну ремонт в 5.000. Я просто взял, и сам починил свой пк. Ощущения незабываемые и понял - я Хякер! С того момента я неустанно читал форумы и писал вредоносные bat. Время шло, я освоил python, веб-автоматизацию и всякого рода поверхности.

With the advent of android, I decided that as a real hacker I should be able to hack from a mobile. What girl would even go for a walk with me, if I didn't break fay? Green! Testosterone levels and the desire to become an unrealistic hacking guru made themselves felt and I came to termux. There, after understanding how good it is in the console, I installed Parrot OS on the base on the PC and off we went ...

Many years have passed between this and here I am on xss.pro, with the navel installed, studying hacking. Doors. SQLMAP. The first leaked base. Don't sleep the night, the second, XSS

The choice fell on testing the well-known, albeit sad, platform for hosting online digital goods stores. There will be no advertising.

Checking sql. Zero.

Trying XSS to login. Does not work.

Then, using the XSS cheat sheet from this forum, I send the JS code to the mail. Zero result.

Studying the site, I see an opportunity to connect a telegram account. Bingo! I put a name in the cart - the JS alert code, open a chat claim and ... a warning window pops up ... That's what you need! This is a dispute, here I can steal the cookies of the owner of the Shop, all the stores, even steal the cookies of the admin! This is victory!

The question arose. What's next? I can now figure out the cookie receiver, open disputes with all the stores, pull out the cookies and enter them. To pump out all the goods ... Yes, there is at least 500 thousand wood! I lit a cigarette. What do i do? After 2 cigarettes and a mug of coffee, I decided to wait. I opened several more chats with shops, put XSs everywhere and monitored the admin.

He did not keep himself waiting. The vulnerability was closed without a word. I got very upset! Did I do the right thing? But still, the administrator, at the infected dispute, he wrote me his telegram so that I could contact him. Perhaps they decided to thank me?

I hurried to write to them, along the way telling all the test results and other vulnerabilities that I could find. After evaluating this, I was sent to communicate with an even higher-ranking admin ... maybe even the owner! I was incredibly happy to speak personally with him ...

I will definitely add history ...

impressive to me.

 

[antpus]

Придется подписаться, интересно же!
Автор, у тебя получается. Продолжай!

 

[Ratom1]

Придется подписаться, интересно же!
Автор, у тебя получается. Продолжай!

Благодарю) Параллельно вы можете отслеживать и другие мои истории). Я пришел к выводу, что было бы отлично в прозе рассказывать за инструменты, которыми сам пользуюсь. К примеру, последняя история атаки компании уже в себе имеет упоминание работы через termux и некоторые программы. Будем продолжать!
Благодарю за отзыв

 

[SaT311it3]

Благодарю) Параллельно вы можете отслеживать и другие мои истории). Я пришел к выводу, что было бы отлично в прозе рассказывать за инструменты, которыми сам пользуюсь. К примеру, последняя история атаки компании уже в себе имеет упоминание работы через termux и некоторые программы. Будем продолжать!
Благодарю за отзыв

Если истории действительно реальные, а не вымысел, то хотелось бы видеть больше тех части, все же раздел больше про тех часть, нежели про "почитать когда скучно"

 

[Ratom1]

Если истории действительно реальные, а не вымысел, то хотелось бы видеть больше тех части, все же раздел больше про тех часть, нежели про "почитать когда скучно"

Да, все, что написано уже сейчас - реальные события. Истории рождаются по факту событий, а не из фантазий. Иначе бы я клепал по 10 рассказов/день. Вас услышал, в последней истории я стал ближе к техническому, в дальнейшем буду улучшать качество, наряду с методами.

Основной акцент на новичков, ведь я сам начинающий. Я прохожу некоторый опыт и рассказываю о нем, чтобы кто-то мог повторить.

 

[SaT311it3]

Да, все, что написано уже сейчас - реальные события. Истории рождаются по факту событий, а не из фантазий. Иначе бы я клепал по 10 рассказов/день. Вас услышал, в последней истории я стал ближе к техническому, в дальнейшем буду улучшать качество, наряду с методами.

Основной акцент на новичков, ведь я сам начинающий. Я прохожу некоторый опыт и рассказываю о нем, чтобы кто-то мог повторить.

Интереснее будет читать если будет больше тех нюансов, какой пайлод использовал, как изучал периметр, как заметал следы, по больше промежуточной информации между решил-сделал, я больше про это имел ввиду
Для новичков это будет особенно полезно, возможно и динозавры что то для себя интересное откроют

 

[Ratom1]

Интереснее будет читать если будет больше тех нюансов, какой пайлод использовал, как изучал периметр, как заметал следы, по больше промежуточной информации между решил-сделал, я больше про это имел ввиду
Для новичков это будет особенно полезно, возможно и динозавры что то для себя интересное откроют

Надеюсь, что я сам для себя это открою Все же, по поводу замести следы, я действую в рамках закона и этот аккаунт не из под тора действует, так что особую жесть скорее всего я не готов написать.

 

[Ratom1]

Столько лайков, критики и внимания, я в восторге! Вы главное скажите, когда можно донаты принимать?

 

[upshop33]

Донаты , когда будет оформлено в читаемом виде. А не так , что лазить за буквами по всему даркнету.

 

[Ratom1]

Донаты , когда будет оформлено в читаемом виде. А не так , что лазить за буквами по всему даркнету.

Простите, это где вы буквы теряете? Я пишу с мобильного, разделяя на смысловые блоки. Возьмите в руки книгу и посмотрите оформление там). Да, именно эта история разбита, увы, администрация запретила мне редакцию своих постов, так как в сердцах первую часть я удалил после публикации, боясь быть непонятым. Модерация восстановила оригинал первой части и закрыла право редакции.

 

[Ratom1]

Донаты , когда будет оформлено в читаемом виде. А не так , что лазить за буквами по всему даркнету.

Так же, прошу вашей критики в отношении этой статьи. Она цельная. https://xss.pro/threads/45586/

 

[ChehGuns]

Интересное повествование, ярко описываешь эмоции.

 

[bleue]

как закончишь, может опубликуешь все разом одним коментом, с начала до конца? а то действительно не очень удобно читать пролистывая весь тред. заранее спасибо!)

 

[Ratom1]

Привет! Да, опубликую одним файлом, как книжку. Пока эту историю останавливаю, так как развитие событий вновь началось. По результатам, соберу в одну историю, файлом

 

[Ratom1]

Соответственно, это будет книга-мануал с методами работы и историей, для красок.