Перешёл на светлую сторону Силы

MaxBelov25, Расскажи подробней про связки, какое следствие, варианты загрузок, что сколько стоит и т.д.

На тёмной стороне место освободилось )

Про сами связки можно писать и писать... в книге которую пишу (ага, по смейтесь ещё с этого;)) там эта часть только в черновике заняла почти сотню страниц.

Я, честно признаться, даже не в курсе, куда льют ру траф. С ним работал мало, да и лил в основном на подмену выдачи для гугло-рекламы.

Опишу по опыту бурж трафа, ибо технологии прогрузок одинаковы.

Хочется сразу отметить, что все кто занимается связками-трафом, обитают на закрытых площадках, где только одно только обсуждение работы по ру - карается вечным баном. Посему и боты, и связки, нормальные авторы затачивают так, дабы они банально не отрабатывали на РУ машинах.

Бурж траф льют в основном на банк-акки, казино, игры, под сокс-сервисы.

Вы заходите на заражённую страницу, вам подгружается js-код (в нормальных ситуациях он уже учитывает фильтры, которые я описывал постом выше), чекается может ли будет выполнен сплойт, ну, и если ОК - прогружается ехе. Подгружается через баги в браузерах, плагинах и расширения. Ну, это если уж совсем коротко описывать...

Если вы сидите на маке, линуксе и думаете что ничего не будет - живите дальше в своём розовом мире. Да, процент по ОС небольшой. Но пробивается нефиг петь, особенно на java. Эти идиоты вообще любят выпускать заплатки через неделю-две.

Так, для простого смертного есть пару правил, который нужно выполнять всегда!

Использовать google chrome или safari (если вы на маке, под виндой он бьется).

Почему хром? Во-первых он оснащён своими примочками из коробки, которые не позволят выполнить код. Во-вторых - это песочница. В-третьих - это свой флеш плеер! Это очень важно.

Если вам по душе оперы-мозилы - на здоровье. Никто ж не против. Отличные браузеры. Но это не повод ставить в систему говно флеш-плеер. Но если хотите посмотреть видео на ютубах (хотя html5 же ж) или где-то ещё (особенно на каком-нить варезнике фильм онлайн) - посмотрите его в хроме. Вам не убудет от этого.

Флеш и джава - должны быть выключены, как минимум. А лучше не стоять в системе вообще. Это два самых дырявых продукта. Полистайте CVE, убедитесь сами.

Ну это коротко :)

А вообще:

Кот в сапогах, расскажи подробнее о сео, чо там как вообще :)

Смешно, но я знаю это все (в теорий). Спрашиваю что бы читателей просветил ТС и затронул более интересные темы чем избитые - взлом, доры и т.п.

В теории многие знают :) Это я не к тому, что вы не знаете.. но это как сео, пока сами не потыкаете, не поэкспериментируете - нихрена не получится толкового.

У меня в отделе щас 4 человека, которые пару лет назад закончили престижный в моём городе универ на ИБ. Думаете есть от них толк на деле? Они ни то, что о багтреке или пентесте в принципе не слышали, они даже не знают против кого бороться, не говоря уже о методах... Буду вербовать своих бывших колег. Там хоть знания и опыт :)

MaxBelov25, Ошибаешься, этих знаний достаточно чтобы обеспечить безопасность. Опыт получается в конфигурировании безопасной системы, а не во взломе дырявой, не пропатченой. Технологий сети взаимосвязаны и если есть опыт в сопутствующих темах, то адаптироваться будет намного проще, чем скажем начинающему или узкоспециализированному специалисту. )

Также и наоборот, знаешь есть такое выражение - лучший хакер это админ, а админ это хакер) Принцип 1, только знания о багах каждый использует по своему. Звание админа не говорит о его неспособности уронить сервер коллег.

Интересно услышать про RoR 3. Имеется ли опыт взлома данного фаерворка ?

Ребята!

Я тут мимо прохожу и эту тему почитываю.

Тема очень интересна и я в ней почерпнул пару интересных моментов, которые нужно знать, ибо напарывался уже в прошлом.

Давайте не будем уходить в способы и инструкции лома.

Перейдете через дозволенное - тему закроют, а этого не хотелось бы.

Тут много инфы, которая очень полезна, с точки зрения защиты и простых ошибок.

Спасибо.

что можете сказать про взлом сайтов на известных фреймворках?

Ничего не скажу. Плохого, в смысле) Весь успешный опыт по kohana/yii свёлся к неправильной аутентификации (в случае с коханой был использован самописный auth, так и не понял зачем, через который я смог повысить ранг на портале и залиться в дальшейшем) и с неудачными попытками "сроднения" каких-то фрейморков с движками типо ипб, вб (таких случаев больше). Но это опять же - только опыт и навыки кодера. Было б написано нормально, даже своя ауз, я бы фиг залился.

В случае с seasonvar.ru, там самописный движок, я долго с ним долбался ибо привлекала цифра на счётчике посещаемости. В итоге было пару слепых скуль, опустив руки я решил "на авось" пошантажировать владельца. В итоге он решил перестраховаться и переехать на систему кластеризации 3D Linux (вроде так). Этот момент я не пропустил и мне повезло. Банально из-за валидации маленького куска. Думаю, автор помнит это ) Но мы с ним по итогу договорились и я всё ему исправил и разошлись)