Штош, продолжу свои туристические заметки, сегодня мы поговорим о ценах в Дубае.
Продукты
Цены на продукты меня, на самом деле, приятно удивили
- Местная газировка в банках 0,33л – 40 руб.
- Бутилированная вода 0,5л – 20 руб.
- Coca Cola 2л – 150 руб.
- Рожок мороженного – 40 руб.
- Апельсины 3 кг – 320 руб.
- Шоколадка Ritter Sport – 90 руб.
- Конфеты, халва и подобное – 200 руб. за 100 гр.
Общепит
- Шавуха – 500 руб.
- Гамбургер в McDonalds – 100 руб.
- Комбо в Wendy's (большой бургер, большая картоха, большая кола) – 600 руб.
- Ужин в ресторане (CZN Burak: 2 основных блюда, 2 колы, кальян) – 7 500 руб.
Кальяны
- В ресторане: 2 400 руб.
- В кальянной: 700 руб.
Все курят Al Fakher и подобную дрянь, ни нормальных кальянов, ни нормальных табаков тут нет. Вот вам отличный бизнес-план – везёте кальяны от Мамая и табаки Dark Side, рубите бабло.
Такси
Город ОЧЕНЬ большой и все раскидано друг от друга на огромных расстояниях, поэтому на такси уходит довольно много денег. Всё, естественно, зависит от твоих маршрутов, но я за 7 дней в среднем тратил по 1 400 руб. за поездку.
Самое дешевое такси - Hala. Его можно словить на улице или заказать через приложение Careem.
Далее в рейтинге самых дешевых такси идёт Uber. В среднем, эконом стоит на 20% дороже, но и тачки приезжают в нём по-приятней.
Следующим по стоимости в нашем рейтинге будет XXRIDE, он стоит уже на 30% дороже, чем Hala. Смысла в нём нет никакого.
Ну и самое дорогое такси – это Яндекс Go и его заграничный клон YANGO. Цены в обоих приложениях одинаковые – эконом стоит на 50% дороже, чем в Hala. Если в YANGO я не вижу смысла, то вот родное Яндекс Такси может выручить некоторых туристов, т.к. в нём можно платить по карте МИР (и другими рублёвым картам). Это единственное преимущество Яндекса здесь.
Общественный транспорт
Поездки на метро и автобусах стоят по 100 рублей. Но общественный транспорт здесь вообще не развит - минимум автобусных маршрутов и 2 ветки метро. Поэтому поездки, которые на тачке укладываются в 15 минут, на общественном транспорте могут спокойно выходить до часу. Ну и не забывай, что ДО и ОТ остановки будешь еще пешком пилить по 15-30 минут по жаре. В общем, общественный транспорт здесь - самая крайняя мера.
Аренда авто
Стоимость аренды авто начинается от 1 500 руб. в сутки (или от 1 000 руб./сутки, если берешь на месяц). Естественно, за эти бабки ты получишь отнудь не Lamborghini, а какой-нибудь Nissan Micra или Hyundai Accent, зато по ценам аренды в РФ. Но не повторяй ошибок - заплати 1 600 руб. и сделай международные права перед поездкой, иначе тачку взять здесь ты не сможешь.
Продукты
Цены на продукты меня, на самом деле, приятно удивили
- Местная газировка в банках 0,33л – 40 руб.
- Бутилированная вода 0,5л – 20 руб.
- Coca Cola 2л – 150 руб.
- Рожок мороженного – 40 руб.
- Апельсины 3 кг – 320 руб.
- Шоколадка Ritter Sport – 90 руб.
- Конфеты, халва и подобное – 200 руб. за 100 гр.
Общепит
- Шавуха – 500 руб.
- Гамбургер в McDonalds – 100 руб.
- Комбо в Wendy's (большой бургер, большая картоха, большая кола) – 600 руб.
- Ужин в ресторане (CZN Burak: 2 основных блюда, 2 колы, кальян) – 7 500 руб.
Кальяны
- В ресторане: 2 400 руб.
- В кальянной: 700 руб.
Все курят Al Fakher и подобную дрянь, ни нормальных кальянов, ни нормальных табаков тут нет. Вот вам отличный бизнес-план – везёте кальяны от Мамая и табаки Dark Side, рубите бабло.
Такси
Город ОЧЕНЬ большой и все раскидано друг от друга на огромных расстояниях, поэтому на такси уходит довольно много денег. Всё, естественно, зависит от твоих маршрутов, но я за 7 дней в среднем тратил по 1 400 руб. за поездку.
Самое дешевое такси - Hala. Его можно словить на улице или заказать через приложение Careem.
Далее в рейтинге самых дешевых такси идёт Uber. В среднем, эконом стоит на 20% дороже, но и тачки приезжают в нём по-приятней.
Следующим по стоимости в нашем рейтинге будет XXRIDE, он стоит уже на 30% дороже, чем Hala. Смысла в нём нет никакого.
Ну и самое дорогое такси – это Яндекс Go и его заграничный клон YANGO. Цены в обоих приложениях одинаковые – эконом стоит на 50% дороже, чем в Hala. Если в YANGO я не вижу смысла, то вот родное Яндекс Такси может выручить некоторых туристов, т.к. в нём можно платить по карте МИР (и другими рублёвым картам). Это единственное преимущество Яндекса здесь.
Общественный транспорт
Поездки на метро и автобусах стоят по 100 рублей. Но общественный транспорт здесь вообще не развит - минимум автобусных маршрутов и 2 ветки метро. Поэтому поездки, которые на тачке укладываются в 15 минут, на общественном транспорте могут спокойно выходить до часу. Ну и не забывай, что ДО и ОТ остановки будешь еще пешком пилить по 15-30 минут по жаре. В общем, общественный транспорт здесь - самая крайняя мера.
Аренда авто
Стоимость аренды авто начинается от 1 500 руб. в сутки (или от 1 000 руб./сутки, если берешь на месяц). Естественно, за эти бабки ты получишь отнудь не Lamborghini, а какой-нибудь Nissan Micra или Hyundai Accent, зато по ценам аренды в РФ. Но не повторяй ошибок - заплати 1 600 руб. и сделай международные права перед поездкой, иначе тачку взять здесь ты не сможешь.
👍5🔥3❤1👏1
Пополнение виртуальных банковских карт Bit Free
Сегодняшний пост посвящен самым ленивым – тем, кто еще не разобрался с сервисами, позволяющими выпускать виртуальные и пластиковые карты для оплаты за рубежом.
О наиболее популярных таких сервисах я уже писал в своем канале – ищи «Bit Free» и «Pyppl».
Подавляющее большинство таких сервисов позволяют выпускать банковские карты зарубежных банков и пополнять их с помощью криптовалюты. Соответственно, поле регистрации в сервисе и выпуска карты нам потребуется крипта.
Пополнять Bit Free можно любой криптовалютой – при пополнении карты будет произведена автоматическая конвертация, но для удобства, я рекомендую использовать USDT, так как банковские карты Bit Free номинированы в USD.
Перво-на-перво, нам необходимо приобрести криптовалюту – это можно сделать множеством способов. В скобках, для удобства, будет приведен обменный курс USDT к рублю на момент написания поста.
1. Покупка на рынке Binance (71.90)
Binance – это самая крупная криптовалютная биржа на сегодняшний день. И самый выгодный обменный курс, естественно, находится на бирже. Так, на текущий момент 1 USDT стоит на бирже 68.48 руб. Но перед тем как ты сможешь купить USDT на бирже Binance тебе сначала нужно завести на Бинанс бабки. На текущий момент, россияне могут это сделать с помощью двух платежных систем: Advcash и Payyer. Adbcash не представляет для нас сейчас никакого интереса, так как возможность пополнения с помощью российских банковских карт на текущий момент недоступна. А других способов завести фиат Advcash не предлагают. Payeer же рубли готов принимать только через Qiwi с комиссией 4.99%. В итоге за 1 USD фактически с твоего Qiwi-счета (или рублёвой карты, тут как сам пожелаешь) будет списано 71.90 руб.
2. P2P (71.20)
Binance, как и любая уважающая себя криптобиржа имеет функционал peer-to-peer торговли, т.е. прямые операции между пользователями без каких-либо дополнительных комиссий биржи. При поиске предложений от продавцов обязательно обрати внимание на способ перевода, например продавец готов предложить хороший обменный курс, но бабки от тебя ждет на Payeer или Advcash. И, если у тебя баланс в этих платежных системах нулевой – ты попадешь на дополнительные комиссии при пополнении баланса в платежной системе. Также, при поиске наилучшего предложения – стоит помониторить и другие биржи, например, Bybit. Возможно, на другой бирже ты сможешь найти более выгодное предложение.
3. Обменники (71.44)
Я уже ни раз писал в своем канале о достаточно удобном агрегаторе крипообменников – Bestchange. В правом столбце выбираешь USDT, а в левом Сбербанк/Тинькофф/Qiwi и другие доступные тебе способы пополнения и ищешь наиболее выгодный курс.
Также, обрати внимание, что через обменник ты можешь пополнить напрямую USDT-кошелёк Bit Free, а в случае с Binance – ты сначала пополняешь крипто-кошелек Binance, а уже из него делаешь перевод в кошелек Bit Free и соответственно, платишь от 0.30 до 3.5 USDT (в зависимости от сети) комиссию за перевод. Для небольших пополнений – дополнительная комиссия за перевод из Binance на Bit Free может быть заметна, обрати на это внимание.
Резюмируем
Для небольших операций (до $100) я рекомендую использовать криптообменники и искать наиболее выгодный курс среди обменников с помощью агрегаторов, таких как Bestchange. Для более крупных операций (от $100) я рекомендую использовать p2p-торговлю на Binance, Bybit и других биржах, мониторя наиболее выгодные предложения.
Сегодняшний пост посвящен самым ленивым – тем, кто еще не разобрался с сервисами, позволяющими выпускать виртуальные и пластиковые карты для оплаты за рубежом.
О наиболее популярных таких сервисах я уже писал в своем канале – ищи «Bit Free» и «Pyppl».
Подавляющее большинство таких сервисов позволяют выпускать банковские карты зарубежных банков и пополнять их с помощью криптовалюты. Соответственно, поле регистрации в сервисе и выпуска карты нам потребуется крипта.
Пополнять Bit Free можно любой криптовалютой – при пополнении карты будет произведена автоматическая конвертация, но для удобства, я рекомендую использовать USDT, так как банковские карты Bit Free номинированы в USD.
Перво-на-перво, нам необходимо приобрести криптовалюту – это можно сделать множеством способов. В скобках, для удобства, будет приведен обменный курс USDT к рублю на момент написания поста.
1. Покупка на рынке Binance (71.90)
Binance – это самая крупная криптовалютная биржа на сегодняшний день. И самый выгодный обменный курс, естественно, находится на бирже. Так, на текущий момент 1 USDT стоит на бирже 68.48 руб. Но перед тем как ты сможешь купить USDT на бирже Binance тебе сначала нужно завести на Бинанс бабки. На текущий момент, россияне могут это сделать с помощью двух платежных систем: Advcash и Payyer. Adbcash не представляет для нас сейчас никакого интереса, так как возможность пополнения с помощью российских банковских карт на текущий момент недоступна. А других способов завести фиат Advcash не предлагают. Payeer же рубли готов принимать только через Qiwi с комиссией 4.99%. В итоге за 1 USD фактически с твоего Qiwi-счета (или рублёвой карты, тут как сам пожелаешь) будет списано 71.90 руб.
2. P2P (71.20)
Binance, как и любая уважающая себя криптобиржа имеет функционал peer-to-peer торговли, т.е. прямые операции между пользователями без каких-либо дополнительных комиссий биржи. При поиске предложений от продавцов обязательно обрати внимание на способ перевода, например продавец готов предложить хороший обменный курс, но бабки от тебя ждет на Payeer или Advcash. И, если у тебя баланс в этих платежных системах нулевой – ты попадешь на дополнительные комиссии при пополнении баланса в платежной системе. Также, при поиске наилучшего предложения – стоит помониторить и другие биржи, например, Bybit. Возможно, на другой бирже ты сможешь найти более выгодное предложение.
3. Обменники (71.44)
Я уже ни раз писал в своем канале о достаточно удобном агрегаторе крипообменников – Bestchange. В правом столбце выбираешь USDT, а в левом Сбербанк/Тинькофф/Qiwi и другие доступные тебе способы пополнения и ищешь наиболее выгодный курс.
Также, обрати внимание, что через обменник ты можешь пополнить напрямую USDT-кошелёк Bit Free, а в случае с Binance – ты сначала пополняешь крипто-кошелек Binance, а уже из него делаешь перевод в кошелек Bit Free и соответственно, платишь от 0.30 до 3.5 USDT (в зависимости от сети) комиссию за перевод. Для небольших пополнений – дополнительная комиссия за перевод из Binance на Bit Free может быть заметна, обрати на это внимание.
Резюмируем
Для небольших операций (до $100) я рекомендую использовать криптообменники и искать наиболее выгодный курс среди обменников с помощью агрегаторов, таких как Bestchange. Для более крупных операций (от $100) я рекомендую использовать p2p-торговлю на Binance, Bybit и других биржах, мониторя наиболее выгодные предложения.
❤6👍3🔥1👏1
Пополнение банковских карт Pyypl
Еще один сервис, который позволяет выпускать карты, которые работают за рубежом и о котором я рассказывал – Pyypl. Процесс пополнения Pyypl очень похож на процесс пополнения Bit Free. Ты также можешь пополнить баланс Pyypl с помощью любой криптовалюты. Все операции с криптовалютой Pyypl выполняет через Binance Pay, который производит конвертацию выбранной тобой криптовалюты для оплаты в BUSD, поэтому, чтобы не попадать на невыгодный курс обмена выбранной тобой крипты на BUSD - для пополнения Pyypl я рекомендую сразу приобретать BUSD.
Важно! Именно «BUSD». Несмотря на то, что Pyypl в своём приложении везде пишут, что основная криптовалюта для проведения операций в приложении – это USDT, фактически все операции производятся в Бинансовском BUSD.
Особенности покупки BUSD за рубли, в принципе, такие же как для USDT (которые я описал в предыдущем посте) - наиболее выгодный курс ты сможешь получить при p2p-торговле. Использование обменников здесь также возможно, но далеко не для всех способов оплаты. Монета BUSD куда менее популярная, чем USDT, предложений для обмена меньше, поэтому разница в обменном курсе между p2p и обменниками значительно более заметная.
Также, я обратил внимание, что Pyypl берет скрытую комиссию в размере 1% при конвертации твоих BUSD в USD-баланс банковской карты.
Еще один сервис, который позволяет выпускать карты, которые работают за рубежом и о котором я рассказывал – Pyypl. Процесс пополнения Pyypl очень похож на процесс пополнения Bit Free. Ты также можешь пополнить баланс Pyypl с помощью любой криптовалюты. Все операции с криптовалютой Pyypl выполняет через Binance Pay, который производит конвертацию выбранной тобой криптовалюты для оплаты в BUSD, поэтому, чтобы не попадать на невыгодный курс обмена выбранной тобой крипты на BUSD - для пополнения Pyypl я рекомендую сразу приобретать BUSD.
Важно! Именно «BUSD». Несмотря на то, что Pyypl в своём приложении везде пишут, что основная криптовалюта для проведения операций в приложении – это USDT, фактически все операции производятся в Бинансовском BUSD.
Особенности покупки BUSD за рубли, в принципе, такие же как для USDT (которые я описал в предыдущем посте) - наиболее выгодный курс ты сможешь получить при p2p-торговле. Использование обменников здесь также возможно, но далеко не для всех способов оплаты. Монета BUSD куда менее популярная, чем USDT, предложений для обмена меньше, поэтому разница в обменном курсе между p2p и обменниками значительно более заметная.
Также, я обратил внимание, что Pyypl берет скрытую комиссию в размере 1% при конвертации твоих BUSD в USD-баланс банковской карты.
👍7❤1🔥1🍾1
Карты для оплат услуг за рубежом
Я уже много писал о том какие карты для зарубежных оплат существуют, как ими пользоваться, как их пополнять, какие комиссии у них и с какими проблемами можно столкнуться. Информации об этом в моём канале предостаточно. Сегодня я лишь хочу финализировать всё, после боевого испытания этих карт в другой стране и подвести некий итог, что уже не возвращаться к этой теме.
И одновременно использую карты от трёх поставщиков, а именно: Capitalist, Bit Free и Pyypl.
Нужно понимать, что все эти карты – потенциальный СКАМ и в любой момент эти карты могут перестать работать, а ты останешься без доступа к средствам, которых находились на этих картах (не забывай об этом).
Bit Free
- Виртуальная карта: есть, от $100
- Физическая карта: есть, от $200 (поддержка говорит, что есть доставка в РФ, но я не проверял)
- Google Pay, Apple Pay: есть
- Ежемесячное обслуживание: бесплатно
- Комиссия за пополнение: нет
- Комиссия за операции: нет
Bit Free – это наиболее простой и удобный способ платить за рубежом и пополнять карту с помощью криптовалюты.
Pyypl
- Виртуальная карта: есть, бесплатно
- Физическая карта: есть, бесплатно, доставка только по ОАЭ
- Google Pay, Apple Pay: нет
- Ежемесячное обслуживание: бесплатно
- Комиссия за пополнение: 1%
- Комиссия за операции: 2%
Pyypl я рассматриваю как обязательную альтернативу для Bit Free, потому что в первый же мой день в Дубае платежи по карте перестали проходить. Первый платеж прошел без проблем, а дальше – declined. Техподдержка Bit Free тупила сутки, но все же бесплатно выпустила мне новую карту на следующий день, и дальнейшие платежи проходили без проблем. Тем не менее, остаться без платежного средства за границей – так себе ситуация, поэтому обязательно нужна альтернатива.
Capitalist
- Виртуальная карта: есть, $2.95
- Физическая карта: нет
- Google Pay, Apple Pay: нет
- Ежемесячное обслуживание: $2.7
- Комиссия за пополнение: 4.7%
- Комиссия за операции: 0.5%
Capitalist – достаточно старый сервис, который появился задолго до всей этой движухи с отказом принимать оплаты по российским картам, поэтому доверия к нему у меня больше, чем у предыдущих. Но так как у Capitalist нет физических карт и возможности привязки к Google Pay / Apple Pay – его я использую исключительно для онлайн-покупок (например, для продления подписок на зарубежные сервисы).
Если ты до сих пор не можешь разобраться с этими картами самостоятельно – могу порекомендовать друзей из сервиса rupayment.org, которые ответят на все интересующие тебя вопросы по поводу использования описанных в посте платежных сервисов.
А если ты знаешь какой-то другой способ оплаты за рубежом – милости прошу в комментарии
Я уже много писал о том какие карты для зарубежных оплат существуют, как ими пользоваться, как их пополнять, какие комиссии у них и с какими проблемами можно столкнуться. Информации об этом в моём канале предостаточно. Сегодня я лишь хочу финализировать всё, после боевого испытания этих карт в другой стране и подвести некий итог, что уже не возвращаться к этой теме.
И одновременно использую карты от трёх поставщиков, а именно: Capitalist, Bit Free и Pyypl.
Нужно понимать, что все эти карты – потенциальный СКАМ и в любой момент эти карты могут перестать работать, а ты останешься без доступа к средствам, которых находились на этих картах (не забывай об этом).
Bit Free
- Виртуальная карта: есть, от $100
- Физическая карта: есть, от $200 (поддержка говорит, что есть доставка в РФ, но я не проверял)
- Google Pay, Apple Pay: есть
- Ежемесячное обслуживание: бесплатно
- Комиссия за пополнение: нет
- Комиссия за операции: нет
Bit Free – это наиболее простой и удобный способ платить за рубежом и пополнять карту с помощью криптовалюты.
Pyypl
- Виртуальная карта: есть, бесплатно
- Физическая карта: есть, бесплатно, доставка только по ОАЭ
- Google Pay, Apple Pay: нет
- Ежемесячное обслуживание: бесплатно
- Комиссия за пополнение: 1%
- Комиссия за операции: 2%
Pyypl я рассматриваю как обязательную альтернативу для Bit Free, потому что в первый же мой день в Дубае платежи по карте перестали проходить. Первый платеж прошел без проблем, а дальше – declined. Техподдержка Bit Free тупила сутки, но все же бесплатно выпустила мне новую карту на следующий день, и дальнейшие платежи проходили без проблем. Тем не менее, остаться без платежного средства за границей – так себе ситуация, поэтому обязательно нужна альтернатива.
Capitalist
- Виртуальная карта: есть, $2.95
- Физическая карта: нет
- Google Pay, Apple Pay: нет
- Ежемесячное обслуживание: $2.7
- Комиссия за пополнение: 4.7%
- Комиссия за операции: 0.5%
Capitalist – достаточно старый сервис, который появился задолго до всей этой движухи с отказом принимать оплаты по российским картам, поэтому доверия к нему у меня больше, чем у предыдущих. Но так как у Capitalist нет физических карт и возможности привязки к Google Pay / Apple Pay – его я использую исключительно для онлайн-покупок (например, для продления подписок на зарубежные сервисы).
Если ты до сих пор не можешь разобраться с этими картами самостоятельно – могу порекомендовать друзей из сервиса rupayment.org, которые ответят на все интересующие тебя вопросы по поводу использования описанных в посте платежных сервисов.
А если ты знаешь какой-то другой способ оплаты за рубежом – милости прошу в комментарии
👍6❤1🔥1👏1
Please open Telegram to view this post
VIEW IN TELEGRAM
🤣9😁1😱1😢1
Кажись yandex.ru прилёг (поиск, почта, Дзен, музыка и другие сервисы) 😂
Please open Telegram to view this post
VIEW IN TELEGRAM
💩9🤔2😁1
Подглядываем в чужие админки
Куда интересней сама технология, Blind XSS – это тип атаки, при котором пользователь (без админ-прав, естественно) размещает в веб-приложении в каком-то из полей javascript-код, который срабатывает в момент, когда администратор натыкается на эту информацию (например, просматривает список пользователей).
В этот момент, javascript-код, размещенный удалённо:
- формирует скриншот страницы, на которой находится администратор (можно посмотреть, как выглядит админ-панель и какой функционал в неё заложен)
- сохраняет HTML-код этой страницы
- сохраняет куки пользователя
и отправляет всю эту информацию на почту злоумышленника.
И если первые два пункта могут быть просто неприятны тем, что кто-то увидит дизайн твоей админки, то вот последний пункт несет реальную угрозу, при которой злоумышленник сможет получить доступ к твоей административной части.
Куки – это локальное хранилище браузера, в которое сайт может записывать любую необходимую для его работы информации, например:
1. Идентификатор сессии
В момент успешной авторизации пользователя, в браузере сохраняется идентификатор его сессии и до разрыва соединения с сайтом, браузер использует этот идентификатор для того, чтобы сервер понимал какой пользователь сейчас взаимодействует с приложением. Если злоумышленник успеет отреагировать быстро, то подменив идентификатор сессии в своём браузере – сможет получить доступ к сайту или приложению с правами администратора.
2. Токен авторизации
Многие сайты и приложения имеют галочку «запомнить меня». В этом случае, при авторизации с активной такой галочкой в куках браузера сохраняется некий токен, который позволит пройти процесс авторизации автоматически, даже после окончания сессии. Вот это куда более опасный вариант, потому что злоумышленнику не потребуется в таком случае оперативно реагировать на уведомления Blind XSS. В этом случае, злоумышленник сможет получить доступ к сайту/приложению практически в любой момент.
Как использовать?
Самый простой способ провести подобный пентест – воспользоваться сервисом xsshunter.com. Регистрируемся, указываем почту для уведомлений о срабатывании атаки и начинаем тестировать различные пэйлоады, которые доступны в личном кабинете XSS Hunter.
XSS Payload – это различные примеры HTML-кода, которые должны запустить атакующий Javascript. Наличие разных XSS Payload-ов обусловлено различными способами обхода защиты атакуемых сервисов от подобных уязвимостей. И, если сервис защищен от одной вариации уязвимости – это совершенно не значит, что он защищен от всех типов атак.
Размещаем эти самые XSS Payload-ы везде, где только можно – в имени пользователя и в других настройках пользователя.
В момент, когда администратор наткнётся на страницу, где удалось разместить наш вредоносный скрипт – мы получим уведомление от XSS Hunter вида: https://ipic.su/img/img7/fs/100.1675750366.png
- скриншот страницы
- HTML-код страницы
- URL страницы
- Реферер
- ip-адрес администратора
- User-agent администратора
- COOKIES администратора
Куда интересней сама технология, Blind XSS – это тип атаки, при котором пользователь (без админ-прав, естественно) размещает в веб-приложении в каком-то из полей javascript-код, который срабатывает в момент, когда администратор натыкается на эту информацию (например, просматривает список пользователей).
В этот момент, javascript-код, размещенный удалённо:
- формирует скриншот страницы, на которой находится администратор (можно посмотреть, как выглядит админ-панель и какой функционал в неё заложен)
- сохраняет HTML-код этой страницы
- сохраняет куки пользователя
и отправляет всю эту информацию на почту злоумышленника.
И если первые два пункта могут быть просто неприятны тем, что кто-то увидит дизайн твоей админки, то вот последний пункт несет реальную угрозу, при которой злоумышленник сможет получить доступ к твоей административной части.
Куки – это локальное хранилище браузера, в которое сайт может записывать любую необходимую для его работы информации, например:
1. Идентификатор сессии
В момент успешной авторизации пользователя, в браузере сохраняется идентификатор его сессии и до разрыва соединения с сайтом, браузер использует этот идентификатор для того, чтобы сервер понимал какой пользователь сейчас взаимодействует с приложением. Если злоумышленник успеет отреагировать быстро, то подменив идентификатор сессии в своём браузере – сможет получить доступ к сайту или приложению с правами администратора.
2. Токен авторизации
Многие сайты и приложения имеют галочку «запомнить меня». В этом случае, при авторизации с активной такой галочкой в куках браузера сохраняется некий токен, который позволит пройти процесс авторизации автоматически, даже после окончания сессии. Вот это куда более опасный вариант, потому что злоумышленнику не потребуется в таком случае оперативно реагировать на уведомления Blind XSS. В этом случае, злоумышленник сможет получить доступ к сайту/приложению практически в любой момент.
Как использовать?
Самый простой способ провести подобный пентест – воспользоваться сервисом xsshunter.com. Регистрируемся, указываем почту для уведомлений о срабатывании атаки и начинаем тестировать различные пэйлоады, которые доступны в личном кабинете XSS Hunter.
XSS Payload – это различные примеры HTML-кода, которые должны запустить атакующий Javascript. Наличие разных XSS Payload-ов обусловлено различными способами обхода защиты атакуемых сервисов от подобных уязвимостей. И, если сервис защищен от одной вариации уязвимости – это совершенно не значит, что он защищен от всех типов атак.
Размещаем эти самые XSS Payload-ы везде, где только можно – в имени пользователя и в других настройках пользователя.
В момент, когда администратор наткнётся на страницу, где удалось разместить наш вредоносный скрипт – мы получим уведомление от XSS Hunter вида: https://ipic.su/img/img7/fs/100.1675750366.png
- скриншот страницы
- HTML-код страницы
- URL страницы
- Реферер
- ip-адрес администратора
- User-agent администратора
- COOKIES администратора
🤯6❤1🔥1🤔1😱1🐳1
Нейросеть показала, как %подставь желаемое% выглядел бы если %подставь желаемое%
Каждую неделю я вижу новости с подобным заголовком, каждую из которых мне в личку обязательно закинут с дюжину раз. И каждый раз меня триггерит со слов «нейросеть показала».
То она покажет, как «персонажи Гарри Поттера выглядели бы если бы жили в России», то РВК покажет, то еще какую-то срань. Но проблема в том, что в 100 случаев из 100 – это фейк. В каждом из таких случаев – это максимально субъективное видение автора, который накидал каких-то ключевых элементов с помощью промптов.
Нейросети, генерирующие картинки без обильного контекста могут выдать лишь максимально всратый результат. А если ты хочешь получить хоть немного адекватное изображение – тебе необходимо максимально подробно описать, что ты хочешь видеть на нём, со всеми деталями: кто или что в кадре, если это человек – цвет глаз, волос, одежду, куда смотрит, что делает, какие части тела будут в кадре, что на фоне, какая погода, какое время суток и так далее.
И вот с этой точки зрения, это уже не «нейросеть показала», а «конкретный автор показал», а уж какие инструменты он для этого использовал (карандаши, кисти, планшет или чат-бот) не особо то и важно.
Вот очередное «нейросеть показала», которым мне засрали всю личку. В этот раз «нейросеть показала, как выглядели бы города России, если бы были людьми». Вот вам в ответочку «нейросеть показала, как бы выглядели эти изображения, если бы их делала нейросеть».
То она покажет, как «персонажи Гарри Поттера выглядели бы если бы жили в России», то РВК покажет, то еще какую-то срань. Но проблема в том, что в 100 случаев из 100 – это фейк. В каждом из таких случаев – это максимально субъективное видение автора, который накидал каких-то ключевых элементов с помощью промптов.
Нейросети, генерирующие картинки без обильного контекста могут выдать лишь максимально всратый результат. А если ты хочешь получить хоть немного адекватное изображение – тебе необходимо максимально подробно описать, что ты хочешь видеть на нём, со всеми деталями: кто или что в кадре, если это человек – цвет глаз, волос, одежду, куда смотрит, что делает, какие части тела будут в кадре, что на фоне, какая погода, какое время суток и так далее.
И вот с этой точки зрения, это уже не «нейросеть показала», а «конкретный автор показал», а уж какие инструменты он для этого использовал (карандаши, кисти, планшет или чат-бот) не особо то и важно.
Вот очередное «нейросеть показала», которым мне засрали всю личку. В этот раз «нейросеть показала, как выглядели бы города России, если бы были людьми». Вот вам в ответочку «нейросеть показала, как бы выглядели эти изображения, если бы их делала нейросеть».
🔥8👏2👍1😁1