עזרה הדדית - מחשבים וטכנולוגיה

@טופ-שבמתמחים האמת לדעתי ,לא וגם בגירסה הזות היה הרבה בגים ובעיות ופחות אבטחה [כי הגירסה המקורית בנויה על שרת גוגל] וקשה יותר לערוך שם מאשר בגוגל סטייס

ההגנה שלי חוסמת כי זה בחנות אפליקציות של גוגל [נאתספארק]

אפשר קישור?

יש לי תוכנה מיוחדת לזה דבר איתי במייל gmacheem2@gmail.com

@יוסף-לוי תהנה. https://mitmachim.top/topic/93647/להורדה-מאגר-אפליקציות-מותאמות-לסינון-מתעדכנות-אוטומטית?_=1781241450386

@דוד-פרידמן-0 כתב בבקשת מידע | סטיק מעלי אקספרס: פעם ב... מתחמם, מתנתק, נכבה ונדלק וחוזר לעצמו. תפרט, פעם בכמה זמן? זה מאד משמעותי. יש אפשרות לקבל SMS? עם ממשק לכך?

@מטען-נייד ?

@מעמד איפה הבעיה ? ביוטיוב? או בכללי

אני לא מצאתי ולכאורה אין כי זה דבר מדי מסובך לעשות ולא שווה (זו הסיבה שהממשק של זה מיושן ולא נעים) בעידן הבינה מלאכותית (להם לא מפריע חיבור לרשת...) עם בינה מלאכותית אתה יכול לקבל בתוך דקות את מה שהיית עושה באקסס בשעות ארוכות ובממשק הרבה יותר נוח

@שמואל-הסיני אצלי עובד מעולה

אומנם אני לא עבדתי לפי סדר מסוים אבל פה אני רוצה לקחת צעד אחורה להסביר מה קורה לפני שאנחנו בעצם יורים על מערכת בניסיון למצוא זה פריצות ואני רוצה להסביר קצת על המפת הפריצה שלנו בפוסט הזה כתב במדריך | אבטחת מידע (התחלה, עודכנו כלל המדרכים לשפה ברורה יותר, עידכון 0.0.12): הוא באמצעות חיפוש הכי פשוט על דפי האתר אז שם פירטנו על השלבים בפריצה ואם בפוסטים האחורנים התמקדנו יותר בשלב השלישי של הפריצה הפעם אני לוקח אותכם קצת אחורה ומסביר בצורה נרחבת את השלב הראשון שימו לב שהאתרים שנבחרו הפעם הם אקראים לחלוטין אתם מוזמנים לעלות את האתרים שאתם בחרתם לבדוק לתגובות ולספר על התוצאות אז בוא ונסביר את השלב הזה השלב הזה נקרא OSINT (ראשי תיבות של Open Source Intelligence). הרעיון פשוט מאוד: לא פורצים. לא שולחים מתקפות. לא מריצים ניצולים. פשוט אוספים מידע שכבר קיים באינטרנט. לפעמים אפשר ללמוד המון על ארגון רק ממה שהוא פרסם בעצמו. היום נכיר שני כלים שנמצאים בקאלי ויכולים לעזור לנו בשלב הזה. חלק ראשון – theHarvester (האוסף) הכלי theHarvester נועד לאסוף מידע על דומיינים וארגונים. הוא יודע לחפש במנועי חיפוש ציבוריים, מאגרי מידע שונים ושירותים נוספים, ולרכז עבורנו את המידע שמצא. כדי להשתמש בו פותחים טרמינל ומריצים: theHarvester -d sans.org -l 200 -b all הסבר קצר: -d sans.org הדומיין שאותו אנחנו רוצים לבדוק. -l 200 מספר התוצאות המקסימלי שהכלי ינסה לאסוף. -b all בקשה לחפש בכל מקורות המידע הציבוריים שהכלי תומך בהם. כלומר כלל מנועי החיפוש מה מחפשים בתוצאות? בדרך כלל אני מסתכל קודם על שמות המארחים (Hosts). לפעמים מופיעים שם דברים מעניינים כמו: dev.example.com test.example.com stage.example.com שמות כאלה יכולים להעיד על שרתי בדיקות או פיתוח. לפעמים הם מוגנים פחות מהאתר הראשי. (ולמה? כי המפתח יוצא מנקודת הנחה שסתם האדם לא רואה את הכתובת הזאת) עוד דבר שאפשר למצוא הוא כתובות IP. אם כול הכתובת שייכות למשל ל־Cloudflare, אפשר להבין שהאתר משתמש בשירות ההגנה שלהם. בנוסף הכלי מחזיר לפעמים קישורים מעניינים שלא תמיד קל למצוא דרך דף הבית. חלק שני – Sherlock (שרלוק (על שם הבלש שרלוק הולמס)) אם theHarvester מתמקד באתרים וארגונים, Sherlock מתמקד באנשים. הכלי עובד בצורה הבאה הוא מחפש שם משתמש (user_name ) במאות אתרים שונים ומנסה לבדוק איפה הוא קיים. דוגמה: sherlock israel_israeli israel.israeli israelisraeli הפקודה מחפשת כמה וריאציות (אופציות) שונות של אותו שם משתמש. למה? כי אנשים לא תמיד משתמשים באותו שם בכל אתר. במקום אחד יהיה: israel_israeli ובמקום אחר: israel.israeli או אפילו: israelisraeli מה התוצאות שאנחנו מקבלים? אם הכלי ימצא התאמות הוא יציג קישורים לאתרים שבהם אותו שם משתמש קיים. לפעמים תמצאו חשבון GitHub. לפעמים Reddit. לפעמים פורומים קטנים או אתרי גיימינג שאף אחד לא זוכר שהם קיימים. בנוסף Sherlock שומר את התוצאות בקובץ טקסט בתוך התיקייה שבה הרצתם אותו, כך שאפשר לחזור אליהן גם מאוחר יותר. כמה מילים על החוקיות הכלים שהצגנו היום עובדים על מידע ציבורי. הם לא פורצים לשום מערכת ולא מנצלים חולשות. אבל חשוב לזכור: לאסוף מידע זה דבר אחד. להתחיל לבצע סריקות אגרסיביות או ניסיונות חדירה למערכות שלא שייכות לכם זה כבר סיפור אחר לגמרי. (ואנשים אני לא מזהיר סתם, זה אומנם נושא נחמד אבל לא להתעסק איתו מתוך דימיונות שאתם יכולים לעשות והכל) לכן אנחנו משתדלים לעבוד רק על מערכות שקיבלנו עליהן אישור, מעבדות לימוד ייעודיות או תוכניות Bug Bounty מאושרות. מה למדנו היום? ✓ מה זה OSINT. ✓ מה ההבדל בין איסוף מידע לבין תקיפה. ✓ איך להשתמש ב־theHarvester כדי לאסוף מידע על דומיינים. ✓ איך להשתמש ב־Sherlock כדי לחפש שמות משתמש באינטרנט. ✓ אילו סוגי מידע אפשר למצוא בלי לשלוח אפילו חבילת תקיפה אחת. בפרק הבא נמשיך להכיר כלים נוספים לאיסוף מידע ונראה איך מחברים את כל פיסות המידע לתמונה אחת מלאה.

בס"ד עדכון לכלל הציבור הפורום חזר בהצלחה מוזמנים להיכנס ולהנות

@יום_שמח @עדלאידע אני לא זוכר מהו הסקריפט שברשותי - אני חושב של @יום_שמח אבל לא בטוח, ולכן אני מקפיץ את הנושא שוב. לאחר שינויים באתר, לא ניתן היה לראות את מחיר סך ההזמנה, וכן רציתי לתקן את הפופאפ הענק והמכוער. תיקנתי, והעליתי לגיטהאב, אני מרגיש גזלן... מי שזה שלו, אנא יודיעני, ואעביר לחשבונו את המאגר. https://github.com/Y-PLONI/mishnatyosef_Violentmonkey_script נשארו עוד כמה בעיות מעצבנות לתקן, ואין זמני בידי (ניסיתי לתקן את כולן ביחד, ללא הצלחה מרובה...) כרטיסי המוצרים אינם ממורכזים, יש יותר רווח בצד שמאל מצד ימין. זוג כפתורי אפשרויות התצוגה (שמאל למעלה), הם מעל הרווח, לא מעל המוצרים. זה לא יפה. רשימת הקטגוריות נחתכת באמצע, כאילו אין לה מקום (יש לחצני חיצים בצדדים, כדי להציג את הקטגוריות ש״לא היה להן מקום״...) שדה החיפוש, ולחצן ה׳לב׳ (מוצרים אהובים) גם נמצאים במרכז-שמאל, במקום שמאל, מעל סוף המוצרים. המילים ״זיכויים וחיובים״ (בשמאל למעלה, מעל רשימת המוצרים שהוזמנו) מיושרות לימין, במקום להיות ממורכזות. הפופאפ המוקטן אינו ממורכז, והצבע האדום שבו אדום מדי (זה היה הצבע המקורי, אך יש להבהיר אותו מעט).

@ארי.מ. באמת בהתחלה הייתי די בטוח שזה מקורי עד ששמת ליבי לכך שחלק מהתגובות הם בכלל מלפני שהמוצר הושק, אם כי כמו שכתב @3157686 עדיין המוכר הזה נחשב יחסית אמין לפי הביקורות (ותג הכסף - אומר משהו?!) Spoiler נ.ב. כשכתבתי את הפיסט המחיר לא היה 500 אלא 429 לאחר קופונים

@טופ-שבמתמחים תודה רבה! אין לי מוניטין לתת לייק מצטער!

@ori https://mitmachim.top/post/1179502 @משה-מזרחי האלוף עדכן