Moderators: dominae et iudices, haec disputatio est valde ridicula et valde interesting, hodie loqui de rebus realibus quae in interreti observantur. Colloquium hoc paulo diversum est ab iis quae in colloquiis Niger Hat adhibentur, quia loquimur quomodo oppugnatores pecuniam ab oppugnationibus faciunt.
Oppugnationes aliquas iucundas ostendemus tibi quae lucrum facere possunt, et tibi narrabimus de impugnationibus quae actu factae sunt per noctem, quam transivimus Jägermeister et Interitus. Ludicrum fuit, sed cum paululum sobrii sumus, ad populum SEO collocuti sumus et actu didicimus multum homines ab his oppugnationibus lucrari.
Procurator medius sum inexpertus, itaque sedem meam dabo, et te in Hieremiam et Treiam inducam, qui multo me sunt stimiores. Subtiliter ac iocum habere debeam exordium, sed non ego, ut has lapsus potius ostendam.
Slides ostendens Hieremy Grossman et Trey Ford in velo monstrantur.
Jeremy Grossman est conditor et princeps technologiae praefectus Securitatis WhiteHat, unus ex summo 2007 CTOs nomine ab InfoWorld anno 25, co-conditor Consortium Securitatis Applicationis Web, et co-auctor oppugnationum crucis-site scripting.
Trey Ford est director solutionum architectural Securitatis in WhiteHat, qui sex annos experientiae habet consultorem securitatis pro fortuna 6 societatum et unum e e e PCI DSS solutionis card notitiae securitatis vexillum.
Puto has imagines supplere propter meam intemperantiam. Ceterum, spero te praesentatione frui et tunc intellege quomodo hae impetus in Interreti adhibeantur ad pecuniam lucrandam.
Jeremy Grossman: Salve, gratias omnes pro adventu tuo. Colloquium hoc per iocum erit, quamvis nullas dies impetus aut novas technologias refrigerare videatur. Temptabimus nos eam delectationem facere et loqui de rebus realibus quae fiunt cotidie quae mala guys multam pecuniam facere permittunt.
Non conamur vos imprimere quid in hoc lapsu monstratum sit, sed quid nostra societas agit simpliciter explicare. Vigilialis, seu "Puniculi albi Custodes Hat" est:
- infinitos census - situs clientium moderatio et periti administratio, facultas lustrandi sites pro magnitudine ac frequentia mutationum;
- amplum ambitum coverage - authenticum intuens situm ad deprehendendas vulnerabilitates technicas et usus probatio ad cognoscendos errores logicos in locis negotiis detectis;
- falsa positivis eliminatis - turma nostra perficiendis eventus recenset et congruentem severitatem ac minas aestimationem assignat;
- progressionis et qualitatis imperium - systematis Satellite Appliance WhiteHat nobis concedit remotum ministerium clientium systematum per accessum ad retis interni;
- emendatio et emendatio - realistica intuens te permittit ut cito et efficaciter systema update.
Ita nos omnem situm in mundo audimus, maximas turmas applicationis interretiales penentestres habemus, 600-700 taxationem singulis hebdomadibus facimus, et omnes notitias quas in hac praesentatione videbimus, ab experientia nostra hoc genus operis faciendi. .
Sequenti lapsus vides 10 genera communissima oppugnationum in global websites. Ex quo patet recipis vulnerabilitatem ad quosdam impetus. Ut videre potes, 65% omnium situs vulnerari possunt ad scriptam transire, 40% lacus informationes permittere, et 23% vulnerari ad contenti spoofing. Praeter scripturam transversim, SQL injectiones et notoria petitio falsitatis crucis, quae in summo nostro decem non comprehenditur, communes sunt. Sed hic index impetus continet nominibus secretioribus, quae vagae linguae usus describuntur et quorum proprietas est ut contra quasdam societates dirigantur.
Haec sunt vitia authenticas, vitia processus concessionis, notitia libero et cetera.
Proximus lapsus loquitur de impugnationibus negotii logicae. QA iunctos implicatos in qualitate certitudinis plerumque eos non attendunt. Experiuntur quid programmata faciat, non quid possit, et tunc videre potes quod vis. Scanners, omnes hi Pyxidas albae/Nigrum/Gray, omnes hae cistae multicolores non possunt haec in pluribus deprehendere, quia simpliciter infixi sunt in contextu qualis impetus fieri possit aut quid simile cum evenit. Intellectus carent nec sciunt num quidvis elaboratum sit necne.
Idem valet de applicatione firewalls et IDS WAF, quae etiam vitia logicae negotia deprehendere non possunt, quia petitiones HTTP omnino normales spectant. Ostendemus tibi quod impetus ad negotia logica pertinentia vitia omnino naturaliter oriuntur, nullae hackers, nullae metacharacteres vel aliae odditates, apparent sicut processus naturaliter occurrentes. Summa est, quod mali guys haec amant, quia vitia in logica negotia faciunt pecuniam. Utuntur XSS, SQL, CSRF, sed hae rationes oppugnationum magis magisque difficiles efficiunt, ac per proximos 3-5 annos decrevisse vidimus. Sed non per se evanescunt, sicut quiddam superfluum non recedet. Sed mali guys sunt cogitare quomodo impetus urbanus utatur quia credunt "reales guys malos" semper pecuniam ab eorum impugnationibus quaerere.
Cupio tibi ostendere veras sycophantias quas in tabula capere potes et iis utere recto modo ad negotium tuum tuendum. Alia propositio nostra est, ut de ethicis mireris.
Capitum Online et suffragatio
Itaque, ut disputationem de defectibus negotii logicae incipiamus, fama de online perlustrat. Capita online frequentissima sunt via ad cognoscendum vel influendum in opinione publica. Incipiemus cum lucro of $0 et vide exitum 5, 6, 7 mensium fraudes. Incipiamus agendo valde, valde simplex percontatio. Scis quod omne novum locum, omne blog, omne nuntium portarum online perlustrat. Quod dixit, nulla angulus nimis magna aut nimis angusta est, sed in certis locis publicam opinionem videre volumus.
Velim animum tuum ad unum perspectum ducere in Austin, Texas. Quia Austin Candidae Caniculae Westmonasterii in Show, Austin American Stateman decrevit ducere an online Austin's Best in Show capita for Central Texas dog owners. Millia dominorum submiserunt imagines et pro favoribus eorum decreverunt. Sicut tot alia lustrat, nulla alia praemium fuit quam iura iactantia pro delicio tuo.
Interretis 2.0 applicationis ratio suffragandi adhibita est. Vos coniuctionem "sic" si canem probaverunt et explorasti utrum optimus canis esset in genere vel non. Ita decrevistis aliquot centum canes in eo situ collocatos ut candidati victoris spectaculi essent.
Hac methodo suffragii ferenda, 3 genera fallaciarum possibilia sunt. Primum votum est perennem, ubi pro eodem cane etiam atque etiam decernis. Valde simplex est. Secundus modus est multiplex suffragii negativus, in quo ingentem numerum pluries contra canem certantem decernis. Tertius modus fuit ut, ad verbum in ultimo momento certationis, novum canem posuisses, ei suffragatus est, ut possibilitas suffragiorum negativorum accipiendi minima esset, et in recipiendis suffragiis C% positivis lucratus es.
Praeterea victoria ut recipis definita est, et non per summam suffragiorum numerum, id est, non potuisti determinare uter canis maximus numerus positivus aestimationes accepit, tantum recipis aestimationes positivas et negativas pro certo cane calculata. . Canis cum optimo affirmativo/negationi score rationi conciliavit.
Collague Robert "RSnake" amicus Hansen rogavit eum ut auxilium suum Chihuahua Vegrande in certamine vinceret. Nostis Robertum, Augustinum est. Ille, sicut eximius piratice, procuratorem Burp destinavit et semitam minime resistendi secutus est. Solebat technicam fallaciam #1, eam per ansam Burp plurium centum vel milium petitionum currebat, quae canem 2000 upvotarum attulit et eum in locum 1 duxit.
Deinde artificio fallaciis usus est contra N. 2 contra Miny competitorem, cognomento Chuchu. In ultimis minutis certaminis, 450 suffragia contra Chuchu eiecit, quae positionem minimam 1 loco cum suffragii ratione plus quam 2:1 amplius corroboravit, sed in terminis positivis et negativis recipiendis, Miny adhuc amisit. In hoc lapsu vides novam cybercriminalem faciem, ab hoc eventu dissolutam.
Etiam sem amet erat, sed mi non puto hoc modo facere. Vos iustus volo vincere in in Austin Chihuahua elit, sed erat aliquis qui idem facere conatus evertere. Hem, iam ad Tream voco.
Faciens artificialis postulatio et quaestus est
Trey Ford: Notio "artificialis DoS" ad varias missiones commodas refertur cum tesseras electronicas emimus. Vel, cum fuga sede in reservatis. Hoc applicare potest ad quamlibet tesseram, sicut res ludicrae vel concentus.
Ne crebris emptionibus vix res item ut porttitor sedes, item corporis, usoris, etc., applicatio impedit item per certum temporis spatium ad praecavendas pugnas. Hinc fit vulnerabilitas cum facultate reservandi aliquid in antecessum.
Omnes de timeout scimus, omnes sessionem finiendi novimus. Sed hoc vitium maxime logicum permittit ut sedem in fuga seligere ac deinde iterum redire sine ulla solutione delectum faciamus. Multi vestrum certe saepe negotiandi itinera pergunt, sed mihi haec pars essentialis est operis. Hoc algorithmum multis in locis temptavimus: fugam eligis, sedem elige, et solum cum paratus sis, informationem mercedem tuam intras. Hoc est, postquam locum elegeris, tibi reservatur per certum temporis spatium, a pluribus momentis ad plures horas, et hoc tempore nullus alius potest hunc locum conquirere. Propter hanc exspectationem, occasionem realem habes reservandi omnes sedes in plano solum reddendo ad locum et libri sedes quas voles.
Ita optio oppugnationis DoS apparet: automatice hunc cyclum repetemus pro unaquaque sede in plano.
Hoc experti sumus in duobus saltem magnis airlines. Eadem vulnerabilitate invenire potes cum aliquo alio libro. Magna haec occasio est pretia tesserarum tuarum iis qui eas resellere cupiunt, erigere. Ad hoc faciendum, speculatores necesse est ut reliquas tesseras sine ullo periculo pecuniariae damni inferat. Hoc modo potest "fragor" e-commercium quod vendit summus postulatio productorum - video ludos, ludum consolatur, iPhones, et sic porro. Hoc est, vitium existens in online libri vel reservationis ratio permittit impugnatorem ut pecuniam ex eo vel competitores damni faciat.
Captcha decryption
Hieremias Grossman: Nunc de captcha fama. Quisque scit illas molestissimas imagines, quae in interreti lectica et spamma pugnare solent. Potentia, ex captcha lucrum facere potes. Captcha est plena test automated Turing quod sinit te discernere personam realem ab automati. Multum interesting res inveni dum usum captcha investigat.
Captcha prima circa 2000-2001 usus est. Spammers captcham tollere volunt ut subcriptio gratis muneris inscriptio Gmail, Yahoo Mail, Windows Live Mail, MySpace, FaceBook, etc. et mitte spam. Cum captcha satis late adhibetur, totum mercatum officiorum visus est offerre ut captcha ubiquitous praeterire. Denique hoc lucrum - exemplum missurus esset spam. Sunt 3 modi captcha praeterire, inspiciamus eos.
Prima vitia in ideae exsecutione, seu defectus in usu captcha.
Ita responsa quaestionum parum entropy continent, ut "scribe quid 4+1 sit aequale." Eaedem interrogationes pluries repeti possunt, et rationum possibilium responsionum est valde parva.
Efficacia captcha hoc modo cohibetur:
- probatio peragi debet in condicionibus ubi persona et minister ab invicem remoti sunt;
experimentum singulis difficile non est; - quaestio talis debet esse ut quis intra brevi tempore respondere possit;
Solus ille cui quaeri respondeat; - quaestioni solvendae difficile esse debet pro computatorio;
- cognitio quaestionum praecedentium, responsiones vel earum iuncturae praedictae sequentis probationis non debet afficere;
- probatio non debet discernere contra homines visivae vel auditus impairments;
- probatio geographica, culturaliter vel accidens non debet in luce collocari.
Ut evenit, creando "recte" captcha admodum difficilis est.
Secundum incommodum captcha est facultas utendi OCR optical recognitionem. Pars codicis legere captcham imaginem quantumvis strepitus visualium continet, vide quid litterae vel numeri formant et processus agnitionis automate. Investigatio demonstravit maxime captchas facile findi posse.
Auctoritates dabo de specialibus e Schola Computer Scientiarum in Universitate Novo Castro, UK. Loquuntur de facilitate captcha Microsoft crepuisse: "incursus noster consequi potuit portionem successus 92%, quod significat propositum MSN captcha findi posse in 60% casuum per segmentationem imaginis et agnoscens eam. " Fregisset Yahoo captcha tam facilis erat: “secundo impetus justo successus 33,4% consecutus est. Ita circiter 25,9% captchas findi potest. Investigatio nostra suadet ut spammers numquam vili labore humano utantur ad captcha Yahoo praetermittenda, sed potius in parvo sumptu automated impetu nitantur".
Tertius modus transeundi captcha vocatur "Turca Mechanica", seu "Turca". Contra Yahoo captcha statim post publicationem probavimus, et hodie nescimus, et nemo scit, quomodo contra talem impetum defendat.
Ita est, ubi malus guy habes qui current "adulter" situs vel ludus online, unde usores aliqua contenti petunt. Antequam alteram picturam videre possunt, situs piratici possidet, petitio finalis posterioris ratiocinationis quae tibi nota est, dic Yahoo vel Google, captcha inde cape et eam ad usorem delabi. Et statim ut quaestioni usoris respondet, piraticam coniectam captcham mittet ad scopum situs et imaginem usoris petitam ex eius situ ostende. Si situs popularis multum cum contentus amet, movere potes totum exercitum hominum qui sponte implebunt aliorum captchas tibi. Hoc est potentissimum.
Sed non solum homines captos praeterire conantur, negotiis etiam hac arte utuntur. Robert "RSnake" Hansen in diario suo cum Romaniano "captcha solver" semel locutus est, qui dixit se ab 300 ad 500 captchas per hora solvere posse ad 9 ad 15 dollaria per milia captchas solutas.
Protinus dicit membra sua iunctim operare 12 horas per diem, solvendo circiter 4800 captchas durante hoc tempore, et secundum quam difficiles sunt captchas, possunt recipere usque ad $50 diem pro labore suo. This was an interesting post, but even more interesting are the comments that blog users left under this post. Nuntius statim ex Vietnam apparuit, ubi quidam Quang Hung de grege 20 hominum retulit, qui pro $4 per 1000 captchas laborandum esse suspicatus est.
Proximus nuntius ex Bangladesia erat: “Salve! Spero te bene! Nos societatis praecipui processus a Bangladesha sumus. In statu, operarii nostri 30 plus quam 100000 captchas per diem solvere possunt. Praeclara condiciones offerimus et humilem rate - $2 pro 1000 captchas coniectatae ex Yahoo, Hotmail, Mayspace, Gmail, Facebook, etc sitibus. Expectamus amplius cooperante ".
Alius nuntius interesting missus a quodam Babu: "Hoc opus sum interested, me in phone voca."
Ita satis placet. Disputare possumus quomodo haec actio legalis vel illicita sit, sed re vera pecuniam inde faciunt.
Accessum aliis rationes
Trey Ford: Proximo missione confabulabimur de pecunia facienda in alterius rationem accipiendo.
Quisque Tesserae obliviscitur, et ad securitatem probationis applicandam, tesseras resets et adnotationes onlines duas distinctas, negotii processuum feruntur. Magnum intervallum est inter faciliorem es tesserae retegendi et facilitatem signandi, ut contendas ut processus tesserae reset quam maxime simplex. Sed si eam simpliciorem reddere conamur, quaestio oritur quia quo simplicius tesseram retexere, eo minus securum est.
Unus e maximis profile casibus implicavit adnotationem online utens Sprint in user verificationis servitium. Duo membra alba Hat turmae Sprint pro online adnotatione usus. Duo sunt quae confirmare debes te probare te esse, incipiens ab aliquo simplici ut cell phone numerus. Adnotatione electronica opus est pro rebus quasi rationem ripam gerendi, reddendo pro servitiis, et sic de aliis. Emptio telephona valde commoda est si ex ratione alterius facere potes et postea emptionem fac et multo plus fac. Una optionum scamnorum est electronicam solutionem mutare, ordinem traditionis totius fasciculi telephoni mobilis ad electronicam tuam, et victima pro illis reddere cogetur. Maniaci etiam hac occasione somniant: GPS addendo functionem tracking telephonicas suas victimarum et eorum quemlibet motum ab aliquo computatro sequi.
Sic, Sprint nonnullas quaestiones simplicissimas praebet ad identitatem tuam comprobandam. Ut notum est, securitas praestari potest vel amplis entropicis vel maximis rebus specialibus. Legam tibi partem processus adnotatione Sprint, quia entropia nimis humilis est. Exempli gratia, quaestio est: "select notam autocineticam in sequenti inscriptione descripserunt" et optiones notae sunt Lotus, Honda, Lamborghini, Fiat et "nullus superiorum". Dic mihi, quis vestrum guys est aliquid horum? Ut vides, hoc aenigmate provocatio magna est occasio collegii studentis ut telephona vilia accipias.
Secunda quaestio: "Quis ex his qui tecum vivit vel in inscriptione infra vivit"? Perfacile est huic quaestioni respondere, etiamsi hunc hominem omnino non noveris. Jerry Stifliin - hoc ultimum nomen tres habet "ays" in eo, dabimusque in altera - Radulfum Argen, Hieronymum Ponicki et Ioannem Pace. Quid interest de hoc indice est quod nomina omnino temere posita sunt, et omnia sub eodem exemplari sunt. Si rationem numeras, nullam difficultatem habebis in identitate nominis reali, quia a nominibus selectis passim in re propria differt, in hoc casu tres litterae "i". Ita Stayfliin nomen plane non temere est, et facile est suspicari, haec persona scopum tuum esse. Is est valde simplex.
Tertia quaestio: "in qua recensitatarum urbium numquam vixisti aut numquam in inscriptione tua hac urbe usus es?" — Longmont, North Hollywood, Genua vel Butte? Tres regiones frequentissimas circa Washington DC habemus, ergo patet responsio Hollywood Septentrionalis esse.
Duo sunt quae debes diligenter curare cum Sprint online adnotatione. Ut ante dixi, graviter laedere posses si oppugnator electronicum navium permutare pro informatione mercedis tuae emit. Quid vere FORMIDULOSUS est quod nos officium mobile Locator habet.
Cum illa, motus operariorum tuorum indagare potes, sicut homines telephoniis gestabilibus et GPS utuntur, et in tabula ubi sunt videre potes. Sunt igitur quaedam alia bella interesting quae in hoc processu fiunt.
Ut scis, cum tesseram reponis, inscriptio electronica potior est aliis modis usoris verificationis et quaestiones securitatis. Proximus lapsus ostendit multa officia quae praebent ad indicandam electronicam electronicam si usor difficultatem in ratione sua colligationem habet.
Scimus plurimos homines inscriptionem electronicam adhibere et rationem inscriptionem habere. Subito homines viam pecuniam inde invenire volebant. Inscriptionem electronicam victimae semper invenies, eam in formam intrabis, et occasionem reddendi tesseram rationis tractandi vis. Uteris igitur in retis tuis, et mailbox illa aurea testudo tua fit, locus principalis, unde omnes alias victimae rationes surripere potes. Totam subscriptionem victimae accipies, unam tantum mailbox occupans. Ridere desine, hoc grave est!
Proxima lapsus ostendit quot decies centena millia hominum respondentibus officiis electronicis utantur. Homines naviter Gmail, Yahoo Mail, Hotmail, AOL Mail, sed non debes esse super piratica rationes suas accipere, manus tuas mundare per outsourcing potes. Dicere semper potes quod nihil sit cum eo, tu nihil tale fecisti.
Ita, officium online "Password Recuperatio" in Sinis nititur, ubi pro illis rationem "tuam trucidare" reddes. Pro 300 Yuan, quod est circiter $43, experiri potes ut tesseram peregrinam reset mailbox cum 85% successu suo. Pro 200 Yuan, seu $29, 90% successus habebis in repositione domi tuae electronicae servitutis tesseram mailbox. Mille Yuan constat, aut $143, ut in mailbox aliquem caedere, sed successus non praestatur. Possis etiam tesseras ex fonte crepuere operas pro 163, 126, QQ, Yahoo, Sohu, Sina, TOM, Hotmail, MSN, etc.
COLLATIO NIGRUM UID USA. Ditari vel mori: fac pecuniam online utens Black Hat modi. Pars II (crastina praesto erit link)
Quidam ads
Gratias tibi ago pro manendo nobiscum. Placetne tibi vasa nostra? Vis videre plus interesting contentus? Suscipe nos ponendo ordinem vel commendando amicos; , 30% discount pro usoribus Habr in singulari analogo de servientibus ingressuri, quod a nobis pro vobis est inventum: (praesto cum RAID1 et RAID10, usque ad 24 coros et usque ad 40GB DDR4).
Dell R730xd 2 temporibus vilius? Tantum hic in Belgio! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - from $99! Read about
Source: www.habr.com