Как вычислить мошеннический сайт?
В сети полно злоумышленников, которые жаждут получить ваши денежки, а затем раствориться во всемирной паутине. Как понять, реальный ли перед вами интернет-магазин или поддельный?
1. Очень низкая цена!
Почему мошенникам удается обманывать людей? Потому что люди хотят получить товар за как можно меньшую стоимость. Из-за этого они видят на сайтах только огромные скидки и низкие цены, отключая разум и не замечая нестыковок.
Скидки до 90% возможны, но это повод насторожиться. Сравните, сколько аналогичный товар стоит в других магазинах. Сегодня цены в разных магазинах не сильно отличаются.
2. Фейковые сайты
Это сайты, которые подделываются под сайты популярных брендов. Схожий дизайн, схожее название сайта в адресной строке — из-за этого невнимательным людям кажется, что они находятся в интернет-магазине известной компании.
Некоторые антивирусы имеют базу таких поддельных сайтов и своевременно об этом предупреждают.
3. Сайт не имеет протокол HTTPS
Все серьезные сайты, продающие что-либо, работают только через протокол HTTPS (адрес сайта имеет вид https://САЙТ). Если интернет-магазин работает через HTTP, мы советуем пройти мимо него.
Наличие HTTPS не говорит, что сайт не мошеннический. Этот протокол обеспечивает защиту от ряда сетевых атак, но никак не связан с содержимым сайта. HTTPS могут спокойно купить злоумышленники для своего сайта.
4. Предоплата
Многие российские магазины готовы работать по постоплате. Вы заказываете товар, получаете его в точке выдачи, проверяете и оплачиваете. При этом вы ничем не рискуете. Маленькие интернет-магазины не всегда работают по такой схеме и часто требуют предоплату. Это не всегда мошенники, но риск обмана выше. Зарубежные магазины обычно работают по предоплате.
А вот теперь самое интересное!
5. Проверьте сайт
В сети полно сервисов, которые бесплатно выдадут вам подробный отчет о сайте. Например, тут: https://pr-cy.ru/. У нормального сайта будут страницы в социальных сетях, присутствовать индексация в Яндексе и Гугле и т.д.
Заодно проверьте, на кого сайт зарегистрирован, давно ли он существует в интернете и т.п.. Подойдет любой Whois-сервис (https://www.nic.ru/whois/). Если сайт зарегистрирован недавно (тем более, несколько дней назад), лучше ему не доверять.
6. Поищите отзывы
Вбейте в Яндексе или Гугле название интернет-магазина и добавьте слово «отзывы». Если их нет (неважно, положительные они или отрицательные), проходим мимо. Если много плохих отзывов, это тоже повод задуматься.
Разумеется, это далеко не все возможные способы для проверки надежности интернет-магазина. Мы не ставили цель собрать их все. Но основные тут перечислены.
👨💻Geek Hacker
#antiscam #scam #osint #web
В сети полно злоумышленников, которые жаждут получить ваши денежки, а затем раствориться во всемирной паутине. Как понять, реальный ли перед вами интернет-магазин или поддельный?
1. Очень низкая цена!
Почему мошенникам удается обманывать людей? Потому что люди хотят получить товар за как можно меньшую стоимость. Из-за этого они видят на сайтах только огромные скидки и низкие цены, отключая разум и не замечая нестыковок.
Скидки до 90% возможны, но это повод насторожиться. Сравните, сколько аналогичный товар стоит в других магазинах. Сегодня цены в разных магазинах не сильно отличаются.
2. Фейковые сайты
Это сайты, которые подделываются под сайты популярных брендов. Схожий дизайн, схожее название сайта в адресной строке — из-за этого невнимательным людям кажется, что они находятся в интернет-магазине известной компании.
Некоторые антивирусы имеют базу таких поддельных сайтов и своевременно об этом предупреждают.
3. Сайт не имеет протокол HTTPS
Все серьезные сайты, продающие что-либо, работают только через протокол HTTPS (адрес сайта имеет вид https://САЙТ). Если интернет-магазин работает через HTTP, мы советуем пройти мимо него.
Наличие HTTPS не говорит, что сайт не мошеннический. Этот протокол обеспечивает защиту от ряда сетевых атак, но никак не связан с содержимым сайта. HTTPS могут спокойно купить злоумышленники для своего сайта.
4. Предоплата
Многие российские магазины готовы работать по постоплате. Вы заказываете товар, получаете его в точке выдачи, проверяете и оплачиваете. При этом вы ничем не рискуете. Маленькие интернет-магазины не всегда работают по такой схеме и часто требуют предоплату. Это не всегда мошенники, но риск обмана выше. Зарубежные магазины обычно работают по предоплате.
А вот теперь самое интересное!
5. Проверьте сайт
В сети полно сервисов, которые бесплатно выдадут вам подробный отчет о сайте. Например, тут: https://pr-cy.ru/. У нормального сайта будут страницы в социальных сетях, присутствовать индексация в Яндексе и Гугле и т.д.
Заодно проверьте, на кого сайт зарегистрирован, давно ли он существует в интернете и т.п.. Подойдет любой Whois-сервис (https://www.nic.ru/whois/). Если сайт зарегистрирован недавно (тем более, несколько дней назад), лучше ему не доверять.
6. Поищите отзывы
Вбейте в Яндексе или Гугле название интернет-магазина и добавьте слово «отзывы». Если их нет (неважно, положительные они или отрицательные), проходим мимо. Если много плохих отзывов, это тоже повод задуматься.
Разумеется, это далеко не все возможные способы для проверки надежности интернет-магазина. Мы не ставили цель собрать их все. Но основные тут перечислены.
👨💻Geek Hacker
#antiscam #scam #osint #web
Как вычислить мошеннический сайт?
В сети полно злоумышленников, которые жаждут получить ваши денежки, а затем раствориться во всемирной паутине. Как понять, реальный ли перед вами интернет-магазин или поддельный?
1. Очень низкая цена!
Почему мошенникам удается обманывать людей? Потому что люди хотят получить товар за как можно меньшую стоимость. Из-за этого они видят на сайтах только огромные скидки и низкие цены, отключая разум и не замечая нестыковок.
Скидки до 90% возможны, но это повод насторожиться. Сравните, сколько аналогичный товар стоит в других магазинах. Сегодня цены в разных магазинах не сильно отличаются.
2. Фейковые сайты
Это сайты, которые подделываются под сайты популярных брендов. Схожий дизайн, схожее название сайта в адресной строке — из-за этого невнимательным людям кажется, что они находятся в интернет-магазине известной компании.
Некоторые антивирусы имеют базу таких поддельных сайтов и своевременно об этом предупреждают.
3. Сайт не имеет протокол HTTPS
Все серьезные сайты, продающие что-либо, работают только через протокол HTTPS (адрес сайта имеет вид https://САЙТ). Если интернет-магазин работает через HTTP, мы советуем пройти мимо него.
Наличие HTTPS не говорит, что сайт не мошеннический. Этот протокол обеспечивает защиту от ряда сетевых атак, но никак не связан с содержимым сайта. HTTPS могут спокойно купить злоумышленники для своего сайта.
4. Предоплата
Многие российские магазины готовы работать по постоплате. Вы заказываете товар, получаете его в точке выдачи, проверяете и оплачиваете. При этом вы ничем не рискуете. Маленькие интернет-магазины не всегда работают по такой схеме и часто требуют предоплату. Это не всегда мошенники, но риск обмана выше. Зарубежные магазины обычно работают по предоплате.
А вот теперь самое интересное!
5. Проверьте сайт
В сети полно сервисов, которые бесплатно выдадут вам подробный отчет о сайте. Например, тут: https://pr-cy.ru/. У нормального сайта будут страницы в социальных сетях, присутствовать индексация в Яндексе и Гугле и т.д.
Заодно проверьте, на кого сайт зарегистрирован, давно ли он существует в интернете и т.п.. Подойдет любой Whois-сервис (https://www.nic.ru/whois/). Если сайт зарегистрирован недавно (тем более, несколько дней назад), лучше ему не доверять.
6. Поищите отзывы
Вбейте в Яндексе или Гугле название интернет-магазина и добавьте слово «отзывы». Если их нет (неважно, положительные они или отрицательные), проходим мимо. Если много плохих отзывов, это тоже повод задуматься.
Разумеется, это далеко не все возможные способы для проверки надежности интернет-магазина. Мы не ставили цель собрать их все. Но основные тут перечислены.
👨💻Geek Hacker
#antiscam #scam #osint #web
В сети полно злоумышленников, которые жаждут получить ваши денежки, а затем раствориться во всемирной паутине. Как понять, реальный ли перед вами интернет-магазин или поддельный?
1. Очень низкая цена!
Почему мошенникам удается обманывать людей? Потому что люди хотят получить товар за как можно меньшую стоимость. Из-за этого они видят на сайтах только огромные скидки и низкие цены, отключая разум и не замечая нестыковок.
Скидки до 90% возможны, но это повод насторожиться. Сравните, сколько аналогичный товар стоит в других магазинах. Сегодня цены в разных магазинах не сильно отличаются.
2. Фейковые сайты
Это сайты, которые подделываются под сайты популярных брендов. Схожий дизайн, схожее название сайта в адресной строке — из-за этого невнимательным людям кажется, что они находятся в интернет-магазине известной компании.
Некоторые антивирусы имеют базу таких поддельных сайтов и своевременно об этом предупреждают.
3. Сайт не имеет протокол HTTPS
Все серьезные сайты, продающие что-либо, работают только через протокол HTTPS (адрес сайта имеет вид https://САЙТ). Если интернет-магазин работает через HTTP, мы советуем пройти мимо него.
Наличие HTTPS не говорит, что сайт не мошеннический. Этот протокол обеспечивает защиту от ряда сетевых атак, но никак не связан с содержимым сайта. HTTPS могут спокойно купить злоумышленники для своего сайта.
4. Предоплата
Многие российские магазины готовы работать по постоплате. Вы заказываете товар, получаете его в точке выдачи, проверяете и оплачиваете. При этом вы ничем не рискуете. Маленькие интернет-магазины не всегда работают по такой схеме и часто требуют предоплату. Это не всегда мошенники, но риск обмана выше. Зарубежные магазины обычно работают по предоплате.
А вот теперь самое интересное!
5. Проверьте сайт
В сети полно сервисов, которые бесплатно выдадут вам подробный отчет о сайте. Например, тут: https://pr-cy.ru/. У нормального сайта будут страницы в социальных сетях, присутствовать индексация в Яндексе и Гугле и т.д.
Заодно проверьте, на кого сайт зарегистрирован, давно ли он существует в интернете и т.п.. Подойдет любой Whois-сервис (https://www.nic.ru/whois/). Если сайт зарегистрирован недавно (тем более, несколько дней назад), лучше ему не доверять.
6. Поищите отзывы
Вбейте в Яндексе или Гугле название интернет-магазина и добавьте слово «отзывы». Если их нет (неважно, положительные они или отрицательные), проходим мимо. Если много плохих отзывов, это тоже повод задуматься.
Разумеется, это далеко не все возможные способы для проверки надежности интернет-магазина. Мы не ставили цель собрать их все. Но основные тут перечислены.
👨💻Geek Hacker
#antiscam #scam #osint #web
🔎 Поисковая система Synapsint
Synapsint — это поисковая система OSINT, которая поддерживает поиск по домену, электронной почте, телефону, IP и другим входным данным, включая CVE, ASN и SSL.
Инструмент использует поисковики и популярные API для получения более качественных данных.
Ссылка на инструмент
#web #recon
Synapsint — это поисковая система OSINT, которая поддерживает поиск по домену, электронной почте, телефону, IP и другим входным данным, включая CVE, ASN и SSL.
Инструмент использует поисковики и популярные API для получения более качественных данных.
Ссылка на инструмент
#web #recon
📃 Шпаргалка по эксплуатации SQL-инъекций различных типов
Содержит информацию о поиске точки входа, способах обнаружения уязвимости, обхода WAF и дампа содержимого базы данных для различных типов SQL инъекций.
#web #sqli
Ссылка на GitHub
Содержит информацию о поиске точки входа, способах обнаружения уязвимости, обхода WAF и дампа содержимого базы данных для различных типов SQL инъекций.
#web #sqli
Ссылка на GitHub
GitHub
GitHub - kleiton0x00/Advanced-SQL-Injection-Cheatsheet: A cheat sheet that contains advanced queries for SQL Injection of all types.
A cheat sheet that contains advanced queries for SQL Injection of all types. - kleiton0x00/Advanced-SQL-Injection-Cheatsheet
⛔️ Находим и обходим страницы с ошибкой 403 (доступ запрещен)
Небольшой пример по автоматизации поиска и получения доступа к страницам, к которым доступ запрещен:
▫️Для поиска страниц с ответом 403 используем утилиту dirsearch и выполним команду:
▫️Устанавливаем утилиту 403bypasser и выполняем команду:
Для Burp можем использовать инструмент BurpSuite_403Bypasser.
#web
Небольшой пример по автоматизации поиска и получения доступа к страницам, к которым доступ запрещен:
▫️Для поиска страниц с ответом 403 используем утилиту dirsearch и выполним команду:
python3 dirsearch.py -r -b -u example.com -i 403 -e php,html,json,aspx,sql,asp,js,txt
▫️Полученные страницы помещаем в .txt файл (например 403.txt).▫️Устанавливаем утилиту 403bypasser и выполняем команду:
for i in $(cat 403.txt); do python3 403bypasser.py https://example.com/ $i ; done
▫️Ждем результатов с ответом 200 или 302.Для Burp можем использовать инструмент BurpSuite_403Bypasser.
#web
Forwarded from Zer0Day Lab
Uncle_rat_notes_01_05_2022.zip
68.8 MB
🔒 Грабим TLS в поисках новых эндпоинтов
ProjectDiscovery релизнули свой TLS грабер, под названием tlsx. Полное описание смотрите по ссылке на GitHub, я же выделю некоторые удобные фичи.
Первое, это возможность быстро просмотреть имя организации в сертификате. Собираем CIDR, которые могут принадлежать нашей цели и запускаем команду типа:
Второй интересной фичей является сбор поддоменов с CN и SAN и комбинирование tlsx с dnsx для пассивного сбора поддоменов, а затем и с httpx для поиска живых веб-сервисов:
#web #recon
ProjectDiscovery релизнули свой TLS грабер, под названием tlsx. Полное описание смотрите по ссылке на GitHub, я же выделю некоторые удобные фичи.
Первое, это возможность быстро просмотреть имя организации в сертификате. Собираем CIDR, которые могут принадлежать нашей цели и запускаем команду типа:
echo 173.0.84.0/24 | tlsx -soВторой интересной фичей является сбор поддоменов с CN и SAN и комбинирование tlsx с dnsx для пассивного сбора поддоменов, а затем и с httpx для поиска живых веб-сервисов:
echo 173.0.84.0/24 | tlsx -san -cn -silent -resp-only | dnsx -silent | httpx#web #recon
Forwarded from SHADOW:Group
🗳 Обход Cloudflare WAF при загрузке файлов
3 способа, позволяющих обойти Cloudflare для загрузки вредоносного файла.
Ссылка на статью
#web #waf #bypass #fileupload
3 способа, позволяющих обойти Cloudflare для загрузки вредоносного файла.
Ссылка на статью
#web #waf #bypass #fileupload
Telegraph
Обход Cloudflare WAF при загрузке файлов
Данная статья является переводом и ведётся со слов автора, оригинал тут. Для клиентов Cloudflare иметь Cloudflare — это как платить за уверенность в том, что ваша система получит 99% защиту от внешних угроз. Даже если вероятность успеха составляет всего 1%…
📃 Ломаем логику: 5 разных уязвимостей на одной странице
Простые логические уязвимости, которые обычно упускаются при автоматизированном тестировании, и награда в 1500 евро.
Читать статью
@geekhackers
#web #idor
Простые логические уязвимости, которые обычно упускаются при автоматизированном тестировании, и награда в 1500 евро.
Читать статью
@geekhackers
#web #idor
Telegraph
Ломаем логику: 5 разных уязвимостей на одной странице
Оригинал на английском тут. Всем привет. Сегодня я расскажу о пяти различных уязвимостях, которые я нашел на одной странице. Три из этих уязвимостей были приняты, а две другие были закрыты как дубликаты. Также компания наградила меня €1500. Как всегда, я…