его проверить надо со стороны сайта а не просто лог пасс собрать
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Статья Фишинг атака на примере форума XSS. Получаем log:pass прямо в Telegram.
Верно, мы - это прокладка между пользователем и сайтом.
Логин пасс жертва вводит, дальше смс , отправляешь жертву на страничку фиша с смс
Сам паралельно входишь по логин пасу на сайте, отправляешь ему смс
Он тебе вводит код - ты вводишь код на сайте
Критика будет всегда, не для каждого ума данная статья, по теме - хорошо, для некоторых это может послужить как "костыль" для их проектов, и в прочем, любой материал как и знания - безценны!
Доставал такие токены где php дебаг был включен))
Вызывал 429 ошибку у апишки, и получал полный линк с токеном и айди чата
Ну а потом дамп всего содержимого...
Вызывал 429 ошибку у апишки, и получал полный линк с токеном и айди чата
Ну а потом дамп всего содержимого...
Может дописать фиш под xss с 2ФА и написать статью, будет интересно почитать ?
- Автор темы
- Добавить закладку
- #26
конечно
Последнее редактирование:
Первый и последний раз попробовал тг под это дело.
Мне удалили бота и группу. Потом создал новый тг, новый бот, новую группу и как пришел первый результат, сразу тг аккаунт снесли. Видимо мой сервак, который стучал в АПИ, засунули в какой-то блеклист. Так и не понял, как они узнали id на которого пожаловаться.
Ну и нафиг эту телегу, лучше поднять свои жабер сервак под это дело.
Было прикольно если бы была проверка на валид
Только вот если таким образом делать клон страницы какого-нибудь VK или Фейсбука, она моментально отлетит в опасные сайты и тот же Хром с Мозиллой не будут пользователей на нее пускать.
Так что в реальности это почти неприменимо, придется не wgetом качать, а ручками с нуля верстать страницу входа таргета без всяких скриптов, подтягивающихся с основного сайта и совпадающих названий классов. Впрочем, это не сложно, а иметь базовые знания html+css - полезно.
Так что в реальности это почти неприменимо, придется не wgetом качать, а ручками с нуля верстать страницу входа таргета без всяких скриптов, подтягивающихся с основного сайта и совпадающих названий классов. Впрочем, это не сложно, а иметь базовые знания html+css - полезно.
Кстати, на такие вопросы прекрасно отвечает чатгпт. Без шуток. Прям в 90% будет вполне применимый рабочий код.
Я понимаю что есть тут ультра кодеры для которых это детский сад, но, мне как молодому, зеленому, было полезно, спасибо автору.
- Автор темы
- Добавить закладку
- #31
с примерами работы?
Отличная статья! Для новичков самое то, однако возник такой вопрос:
Как довольно распространенная защита от фишей это делается веб страница как оболочка, куда подгружается вся инфа с закрытых серверов. Как тут быть ?
Так сказать нехтлевел, естественно полезный для роста молодых фишеров
Как довольно распространенная защита от фишей это делается веб страница как оболочка, куда подгружается вся инфа с закрытых серверов. Как тут быть ?
Так сказать нехтлевел, естественно полезный для роста молодых фишеров
Последнее редактирование:
Ты в смысле что качать не получится?
Это я так понимаю вводная статья для начинания сделана, никто не качает, там и гугл будет окраснять домен от кода донора, и вес будет неприличный.
Нужно уделить день-два на изучение html, будешь без проблем делать клон нужной страницы с нуля, добавляя или убирая нужное
Было бы поучительно еще понять как работает вебхук что бы отправлять жертву на страничку ввода смс
- Автор темы
- Добавить закладку
- #36
с помощью вебсокетов, скоро буду писать про это статью
А можете посоветовать какие можно почитать материалы для новичка на тему фишинга и как его правильно и грамотно делать?)
Многие используют аналог телеграму отправку лога на почту, думаю по удобству это ближайший из вариантов
thanks nice article for beginners
- Автор темы
- Добавить закладку
- #40
