За онези моменти когато имате sock прокси но нямате как да накарате flash плугина да работи с него има TranSocks
От сайта на приложението научих че линукс мрежовия филтър (iptables)
може да филтрува трафика в зависимост от потребителя и/или групата която го инициира - това вероятно е по-голямото откритие тъй като приложения като tranSocks има много.
вторник, 5 ноември 2013 г.
четвъртък, 2 май 2013 г.
This page is anonymous
This page is anonymous or how to create an anonymous page (nice tor ssh trick too)
This page is anonymous
Today, to host a piece of content on the Internet, you must link your identity to the content on some level. This is most prominent with social networks such as Facebook and Google+, but even to host an anonymous blog on a free service such as WordPress.com or Tumblr is not trivial. Other options, such as Tor hidden services are less than ideal, since they do not provide access to most people.Amidst all the content hosting providers that want to know at least your email address, and often your credit card number, there is one place where you can still host your content anonymously. That place is the Super Dimension Fortress or SDF. SDF lets you register an anonymous user over ssh (which is accessible via the Tor network) and takes cash over mail in order to validate the user. This page was registered in exactly this way: I created a user called "voidnull" over ssh over Tor, then mailed SDF a single dollar bill with no return address. Whenever I access this account I use Tor, so there is very little chance that my identity will be linked to this account. Below are the exact details of how I did this.
Getting your own account
The first thing you need to do is install a Tor relay on your machine. Look at the Tor documentation for details.After the installation is complete, you can use ssh over tor, like so:
$ ssh -o ProxyCommand="nc -X 4 -x localhost:9050 %h %p" sdf.org. You could create an alias for this command in your .bashrc with alias torssh='ssh -o ProxyCommand="nc -X 4 -x localhost:9050 %h %p"'.You will need to register an account with SDF. The details can be found here and here. To get started, torssh to
new@sdf.org.
You will have to answer a few questions. After you are done, you will
have an account that is not linked to you in any way. The catch is that
SDF will not let you host content on the web until your account is
validated. This means, sending them a $1 bill in the mail. Look at the
bottom of the donation page for the
address. Once you send your donation, wait 1-2 weeks. Your account will
eventually be approved and you can start hosting your web content. In
the mean time, read the web hosting FAQ.About SDF
SDF has been around since 1987. It had a long history, starting as a BBS and progressing to become a free UNIX shell provider and a community of hackers. Read more about SDF's history here.Is this even legal?
Yes, it is legal. This page provides only a basic summary of public knowledge and hosts no malicious content. Disseminating information on the Internet without revealing your identity is your right and SDF provide tools for doing so. As far as I interpret the rules, there is nothing illicit about using Tor to access SDF, or setting up an anonymous account, so long as no other illicit activity takes place.Original source: http://voidnull.sdf.org/
Found at: https://news.ycombinator.com/news
Credit to: who knows :)
вторник, 5 февруари 2013 г.
CSRF - Cross Site Request Forgery
Днес мотайките се по разни страници и слушайки мейдън ми хрумна една идея а именно:
Отваря някой нашата страница която наглед е напълно безобидна (съдържа снимки на котенца и кученца), но в съседния таб има отворен gmail. Какво ще стане ако в един div чрез javascript заредим gmail?
Няма ли това да ни даде достъп до страница (отново чрез javascript) със заредена цялата негова кореспонденция, която можем да парснем и да си изпратим (примерно като POST заявка)?
Запретвам ръкави и пиша html/javascriptски код. Тъй като аз на този език не пиша всичко е идеално:
<html>
<table>
<tr>
<td>
<a href="http://mail.google.com" onmouseover="previewUrl(this.href,'div1')">google</a>
</td>
<td>
<div id="div1" style="width:400px;height:300px;border:1px solid #ddd;"></div>
</td>
</tr>
</table>
<script>
function previewUrl(url,target){
//use timeout coz mousehover fires several times
clearTimeout(window.ht);
window.ht = setTimeout(function(){
var div = document.getElementById(target);
div.innerHTML = '<iframe style="width:100%;height:100%;" frameborder="0" src="' + url + '" />';
},20);
}
</script>
</html>
Палим и какво да видя .... НИЩО. Създава се iframe но в него няма никой.
Помислих че скрипта (който сам написах вервайте ми) нещо е объркан.
Смених href-а с "reddit" и о чудо там всичко си излиза и моя потребител се вижда, и като го сменя да показва входящите съобщения и те се виждат.
Започнах да се запитвам защо така и как така гугъл са толкова ъкълести и чудейки се с подкрепата на ... ами пак на тях (този път търсачката която между другото също не се отваря в ифрейм) намерих отговор. Или по-точно въпрос:
А на него отговор:
И тъй като всяка добра история трябва да има поука или извод, ето моя:
Ебаси колко съм прост и ограничен то си имало такава атака (не съм аз измислил леда на кубчета) че и са измислили как да се защитават от нея а аз чак сега разбирам че я има.
ПолсеПрост
Тъй като не всички са толкова умнички като чичковците от гугъл,
трябва някой дето му се лежи на топло макар че зимата мина да провери как са ни банковите сайтове в това отношение. Аз няма да се намесвам тук.
Поздрави
Отваря някой нашата страница която наглед е напълно безобидна (съдържа снимки на котенца и кученца), но в съседния таб има отворен gmail. Какво ще стане ако в един div чрез javascript заредим gmail?
Няма ли това да ни даде достъп до страница (отново чрез javascript) със заредена цялата негова кореспонденция, която можем да парснем и да си изпратим (примерно като POST заявка)?
Запретвам ръкави и пиша html/javascriptски код. Тъй като аз на този език не пиша всичко е идеално:
<html>
<table>
<tr>
<td>
<a href="http://mail.google.com" onmouseover="previewUrl(this.href,'div1')">google</a>
</td>
<td>
<div id="div1" style="width:400px;height:300px;border:1px solid #ddd;"></div>
</td>
</tr>
</table>
<script>
function previewUrl(url,target){
//use timeout coz mousehover fires several times
clearTimeout(window.ht);
window.ht = setTimeout(function(){
var div = document.getElementById(target);
div.innerHTML = '<iframe style="width:100%;height:100%;" frameborder="0" src="' + url + '" />';
},20);
}
</script>
</html>
Палим и какво да видя .... НИЩО. Създава се iframe но в него няма никой.
Помислих че скрипта (който сам написах вервайте ми) нещо е объркан.
Смених href-а с "reddit" и о чудо там всичко си излиза и моя потребител се вижда, и като го сменя да показва входящите съобщения и те се виждат.
Започнах да се запитвам защо така и как така гугъл са толкова ъкълести и чудейки се с подкрепата на ... ами пак на тях (този път търсачката която между другото също не се отваря в ифрейм) намерих отговор. Или по-точно въпрос:
А на него отговор:
It prevents cross-site request forgery.
Contrived example: say Google has a URL like
The
Contrived example: say Google has a URL like
gmail.com/json?action=inbox
which returns the first 50 messages of your inbox in JSON format. Evil
websites on other domains can't make AJAX requests to get this data due
to the same-origin policy, but they can include the URL via a <script> tag. The URL is visited with your cookies, and by overriding the global array constructor or accessor methods they can have a method called whenever an object (array or hash) attribute is set, allowing them to read the JSON content.The
while(1); or &&&BLAH&&& prevents this: an AJAX request at gmail.com will have full access to the text content, and can strip it away. But a <script> tag insertion blindly executes the JavaScript without any processing, resulting in either an infinite loop or a syntax error.И тъй като всяка добра история трябва да има поука или извод, ето моя:
Ебаси колко съм прост и ограничен то си имало такава атака (не съм аз измислил леда на кубчета) че и са измислили как да се защитават от нея а аз чак сега разбирам че я има.
ПолсеПрост
Тъй като не всички са толкова умнички като чичковците от гугъл,
трябва някой дето му се лежи на топло макар че зимата мина да провери как са ни банковите сайтове в това отношение. Аз няма да се намесвам тук.
Поздрави
Абонамент за:
Публикации (Atom)