Для тех кто следит за моим проектом по деаутентификатору. С самого начала я просто решил сделать обзор на часы-деаутентификатор. И мне сильно не понравился функционал, но сама идея иметь хакерское устройство, на котором ты нажимаешь кнопки и действия отображаются на экране - крайне круто, а еще круче, - когда ты делаешь это устройство сам. Сейчас я дописал программу, с багами, но для демонстрации пойдет, но к сожалению ютуб посчитал мой контент опасным и удалил шорт. Как только я допилю программу, подключу аккумулятор и спаяю кнопки + дисплей , я сразу выложу видео об этом. Далее все этой пойдет в корпус распечатанный на 3d принтере.
В ходе своих исследований я обнаружил, что механизм HSTS умеет следующие поля:
- IncludeSubDomains (Включение всех поддоменов) - Preload (Запоминание браузером домен) - Max-age (Сколько секунд соединение должно быть по HTTPS)
Как работает: Например, vk.com ,имеет max-age=15768000, не имеет preload, includeSubDomains. Настройка не полная, можете сами проверить (hstspreload.org/?domain=vk.com). То есть, если я подменяю сертификат, то вылетает аллерт о том, что соединение небезопасное. Окей, это можно обойти. Пользователь нажимает продолжить, но браузер опять не дает зайти на сайт и говорит, что сайт имеет защиту HSTS, окей, пользователь открывает режим инкогнито и заходит на сайт, сертификат подменен. Пользователь может пользоваться сайтом, с аллертом безопасности, соединение прослушивается.
Берем телеграм, web.telegram.org : Status: web.telegram.org is currently preloaded. Этот URL вшит во все браузеры, более того, сайт всегда будет открываться по HTTPS, без аллертов, потому, что сам браузер теперь не будет доверять даже вашим сертификатам в доверенных корневых центрах, т.к HSTS еще и инициирует соединение только с сертификатами, которые предоставляет сам телеграм. Это что-то типа SSL pining, только в браузере.
Вот такое реалии MITM на сегодня. Требует тестирования.
Канал находится в теневом бане. Т.е каждый день по 120-200 просмотров в связи с тем, что мне прилетело 2 из 3 возможных предупреждения о нарушении правил сообщества (демонстрация опасных действий). За юмористические шорты. Ранее показатель был на уровне 3-7 к в день. Новые видео будут примерно через месяц. А пока что можете попробовать свои х4керские навыки и найти ссылку на мой чат в ТГ. unit3301.online/ Уровень джун. 3 простых шага. Используйте инструменты Кали. Бд нет.
unit3301
unit3301
Для тех кто следит за моим проектом по деаутентификатору.
С самого начала я просто решил сделать обзор на часы-деаутентификатор. И мне сильно не понравился функционал, но сама идея иметь хакерское устройство, на котором ты нажимаешь кнопки и действия отображаются на экране - крайне круто, а еще круче, - когда ты делаешь это устройство сам.
Сейчас я дописал программу, с багами, но для демонстрации пойдет, но к сожалению ютуб посчитал мой контент опасным и удалил шорт.
Как только я допилю программу, подключу аккумулятор и спаяю кнопки + дисплей , я сразу выложу видео об этом. Далее все этой пойдет в корпус распечатанный на 3d принтере.
11 months ago | [YT] | 44
View 10 replies
unit3301
t.me/+STOScLbw5PczM2Vi
Это дополнительный канал связи, здесь я буду постить свои наблюдения, какие-то зарисовки и свое мнение на тему хакерства и не только.
1 year ago | [YT] | 3
View 3 replies
unit3301
Пожалуй, самый крутой канал по хацкерству в формате новостей (с приколами)
t.me/a_storyteller_from_God
1 year ago | [YT] | 4
View 2 replies
unit3301
Пообщался с бывшим полицейским из отдела "К" на тему MITM атак:
1 year ago | [YT] | 7
View 0 replies
unit3301
В ходе своих исследований я обнаружил, что механизм HSTS умеет следующие поля:
- IncludeSubDomains (Включение всех поддоменов)
- Preload (Запоминание браузером домен)
- Max-age (Сколько секунд соединение должно быть по HTTPS)
Как работает:
Например, vk.com ,имеет max-age=15768000, не имеет preload, includeSubDomains. Настройка не полная, можете сами проверить (hstspreload.org/?domain=vk.com). То есть, если я подменяю сертификат, то вылетает аллерт о том, что соединение небезопасное. Окей, это можно обойти. Пользователь нажимает продолжить, но браузер опять не дает зайти на сайт и говорит, что сайт имеет защиту HSTS, окей, пользователь открывает режим инкогнито и заходит на сайт, сертификат подменен. Пользователь может пользоваться сайтом, с аллертом безопасности, соединение прослушивается.
Берем телеграм, web.telegram.org :
Status: web.telegram.org is currently preloaded.
Этот URL вшит во все браузеры, более того, сайт всегда будет открываться по HTTPS, без аллертов, потому, что сам браузер теперь не будет доверять даже вашим сертификатам в доверенных корневых центрах, т.к HSTS еще и инициирует соединение только с сертификатами, которые предоставляет сам телеграм. Это что-то типа SSL pining, только в браузере.
Вот такое реалии MITM на сегодня. Требует тестирования.
1 year ago (edited) | [YT] | 16
View 2 replies
unit3301
Канал находится в теневом бане.
Т.е каждый день по 120-200 просмотров в связи с тем, что мне прилетело 2 из 3 возможных предупреждения о нарушении правил сообщества (демонстрация опасных действий). За юмористические шорты.
Ранее показатель был на уровне 3-7 к в день.
Новые видео будут примерно через месяц. А пока что можете попробовать свои х4керские навыки и найти ссылку на мой чат в ТГ.
unit3301.online/
Уровень джун. 3 простых шага. Используйте инструменты Кали. Бд нет.
1 year ago | [YT] | 10
View 33 replies