About Teletype
Join
N
@nevashiy
February 2, 2024

Зарабатываем на XSS уязвимости

𝐍𝐄𝐕𝐀𝐒𝐇𝐎𝐄 𝐂𝐎𝐌𝐌𝐔𝐍𝐈𝐓𝐘

В этой теме я расскажу вам о вечно актуальном и прибыльном способе заработка. Для работы вам не понадобится никаких финансовых вложений, только аккаунт на любой почте.

И так, зарабатывать мы с вами будем на поиске XSS уязвимости на сайтах.

Алгоритм работы:

1. Ищем сайт с XSS уязвимостью

2. Связываемся с поддержкой сайта

3. Просим у них деньги за обнаружение уязвимости

ПОИСК УЯЗВИМОСТЕЙ

Для начала вам необходимо ознакомиться с тем, что такое XSS уязвимость​

XSS (Cross-Site Scripting) - уязвимость позволяющая вам выполнять свой JS (JavaScript) код на чужом сайте, за счёт чего вы можете взламывать его пользователей, красть их данные, подменять код сайта и многое другое))

Для проверки сайта на наличие XSS уязвимости достаточно вставить в поисковую строку следующий JS код

⁡<script>alert("XSS")</script>

Для примера возьмём сайт stolplit.ru:

Т.е если на сайте появляется уведомление с надписью «XSS», то на нём есть уязвимость.

Самый простой способ эксплуатации XSS уязвимости - подмена кода сайта. Для неё достаточно просто вставить следующий JS код в поисковую строку

⁡<script>document.body.innerHTML = "<H1 style='color: black; text-align: center;'>C 01.05.2024 сайт перестаёт работать</H1>";</script>

Опасность тут в том, что любой кто перейдёт по этой ссылке на сайт, увидит именно наш html код, а не html код сайта.

Как найти такие сайты?

Сайты с XSS уязвимостью можно искать и вручную, но, тогда большая часть нашего времени будет уходить впустую. Но есть скрипт для массовой проверки сайтов на наличие XSS уязвимости.
Инструкция по установке - https://telegra.ph/script-01-26-3

Откуда брать сайты?

Самое сложное в этом способе заработка - достать список сайтов.

Заходим на любой сайт для выгрузки топ 100 сайтов из яндекса или гугла, например https://pr-cy.ru/tools/check-keywords/

Вводим произвольный поисковой запрос, например «Купить мебель с доставкой спб», указываем глубину поиска - топ 100, выбираем любой регион и жмём на кнопку «Проверить»

После недолгого ожидания мы получаем 100 ссылок, их нужно скопировать и вставить в файл site.txt

Связываемся с тп сайта

После того как скриптом был найден сайт с уязвимостью, первым делом вы перепроверяете наличие уязвимости на сайте. Если она и в правду есть, то вы ищите почту поддержки сайта и пишите на неё о том, что нашли на сайте опасную уязвимость.

Всё общение с поддержкой сайта сводится к отправке текста по шаблону, ниже привёл пример успешного диалога с поддержкой сайта.

Данная схема была взята из форумов и представлена вам админом канала 𝐍𝐄𝐕𝐀𝐒𝐇𝐎𝐄 𝐂𝐎𝐌𝐌𝐔𝐍𝐈𝐓𝐘

@nevashiy
February 2, 2024, 15:54
0 views
1 reaction
0 reposts