Forwarded from Поросёнок Пётр
Вот это поворот.
Сергей Тошин aka BagiPro(TOP1 Mobile Hacker) записал неплохое интервью с ребятами из criticalthinking подкаста.
Приятно слушать таких людей, которые буквально прорубили целую сферу мобильного хакинга своими руками и ногами.
https://youtu.be/W6UWw0L01sE
Сергей Тошин aka BagiPro(TOP1 Mobile Hacker) записал неплохое интервью с ребятами из criticalthinking подкаста.
Приятно слушать таких людей, которые буквально прорубили целую сферу мобильного хакинга своими руками и ногами.
https://youtu.be/W6UWw0L01sE
YouTube
Mobile Hacking Maestro Sergey Toshin (Ep. 38)
Episode 38: In this episode of Critical Thinking - Bug Bounty Podcast, we're thrilled to welcome mobile hacking maestro Sergey Toshin (aka @bagipro). We kick off with Sergey sharing his unexpected journey into mobile security, and how he rose to become the…
👍17❤🔥7😁2
10го ноября стартует третий Standoff Hacks.
Первый прошел в мае, туда меня не позвали.
Второй прошел в августе, а очная часть в Красной Поляне.
На втором хаксе я сдал 60 багов и 70-80 процентов из этих багов были логическими.
Многие знают, что я любитель придумывать и раскручивать логические цепочки.
Логические баги - это целое не вспаханное поле ...
В связи с этим мы объявляем конкурс:
1️⃣ место получит проходку на Standoff Hacks
2️⃣ место получит фирменную худи от DeteAct!
Правила:
- Как вы уже поняли, надо описать вектор атаки, которую ВЫ находили, на ЛОГИКУ приложения
- В приоритете баги в следующих типах приложений:
- Платежные сервисы
- ДБО
- Через мобильные приложения
- Ритейл и маркетплейсы
- Оценивать и выбирать победителя буду я, по следующим данным:
- Уникальность вектора
- Получаемый импакт
- Сложность эксплуатации
- Наличие пруфов/скринов/скринкастов
- Нормальное описание
- Отправить описание вектора можете любым удобным вам способом мне в личку
- Пытаться описывать несуществующие или не ваши баги не стоит, попадете на доску позора ИБ комьюнити.
Что по срокам?
13 октября выберу победителя.
#Hacks
Первый прошел в мае, туда меня не позвали.
Второй прошел в августе, а очная часть в Красной Поляне.
На втором хаксе я сдал 60 багов и 70-80 процентов из этих багов были логическими.
Многие знают, что я любитель придумывать и раскручивать логические цепочки.
Логические баги - это целое не вспаханное поле ...
В связи с этим мы объявляем конкурс:
Правила:
- Как вы уже поняли, надо описать вектор атаки, которую ВЫ находили, на ЛОГИКУ приложения
- В приоритете баги в следующих типах приложений:
- Платежные сервисы
- ДБО
- Через мобильные приложения
- Ритейл и маркетплейсы
- Оценивать и выбирать победителя буду я, по следующим данным:
- Уникальность вектора
- Получаемый импакт
- Сложность эксплуатации
- Наличие пруфов/скринов/скринкастов
- Нормальное описание
- Отправить описание вектора можете любым удобным вам способом мне в личку
- Пытаться описывать несуществующие или не ваши баги не стоит, попадете на доску позора ИБ комьюнити.
Что по срокам?
13 октября выберу победителя.
#Hacks
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥27👍2❤🔥1👎1👏1😁1
Товарищи багхантеры! Я к вам с хорошими новостями, которые помогут вам сэкономить больше денег с выплат.
Еще в 2020 году, Никита публиковал такую вот крутую статью: https://habr.com/ru/articles/483082/
Но есть еще нюансы, которые кому-то могут помочь.
Для ИП на УСН для некоторых регионов есть льготы, а именно – это 1% на доход, шикарно же!
В список регионов с таким процентом входят:
- Республика Дагестан
- Мурманская область
- Ненецкая AO
И еще несколько регионов с процентом – 4. Подробная таблица здесь: https://e-kontur.ru/enquiry/276/check_usn
В итоге, если ваши выплаты переваливают за 1 млн рублей и у вас есть возможность оформить ИП в юрисдикции этих регионов, то вперед. Если меньше, то смысла нет, лучше не париться и сидеть на “самозанятом”.
К примеру, если вы получите выплат за 2023 год на 2 млн рублей:
- Самозанятый заплатит – 120к рублей
- ИП на УСН в льготном регионе – фиксированный страховой взнос – 45к, 1% на доход свыше 300к (но тут можно уменьшить это) - 17к и сам налог на доход – 20к = 82к. Чем больше выплат, тем больше экономия.
Еще в 2020 году, Никита публиковал такую вот крутую статью: https://habr.com/ru/articles/483082/
Но есть еще нюансы, которые кому-то могут помочь.
Для ИП на УСН для некоторых регионов есть льготы, а именно – это 1% на доход, шикарно же!
В список регионов с таким процентом входят:
- Республика Дагестан
- Мурманская область
- Ненецкая AO
И еще несколько регионов с процентом – 4. Подробная таблица здесь: https://e-kontur.ru/enquiry/276/check_usn
В итоге, если ваши выплаты переваливают за 1 млн рублей и у вас есть возможность оформить ИП в юрисдикции этих регионов, то вперед. Если меньше, то смысла нет, лучше не париться и сидеть на “самозанятом”.
К примеру, если вы получите выплат за 2023 год на 2 млн рублей:
- Самозанятый заплатит – 120к рублей
- ИП на УСН в льготном регионе – фиксированный страховой взнос – 45к, 1% на доход свыше 300к (но тут можно уменьшить это) - 17к и сам налог на доход – 20к = 82к. Чем больше выплат, тем больше экономия.
🔥21👍2❤🔥1
Mass Assignment через мобильное API
Еще один пример, который доказывает, что очень важно изучать каждый интерфейс в приложении.
Недавно нашел Mass Assignment через мобильное API в дополнительном модуле приложения, которая была доступна только через мобильное приложение.
Mass Assignment приводил к частичному захвату аккаунта.
Рекон
При изучении мобильного приложения, я наткнулся на некий дополнительный модуль в приложении, который подгружался внутри приложения и отличался внешне, а также был другой поддомен.
Предыстория
Регистрация в приложении происходит cс помощью номера телефона и если есть уже зарегистрированный номер, то при регистрации приложение говорит, что такой номер есть и не дает нам зарегистрироваться. Но что важно, почему это частичный захват аккаунта, приложение при обращении к критическим объектам в аккаунте пользователя проверку осуществлял на основе номера. То есть, приложение знает, какой номер изначально имел доступ к этому объекту и если мы пытались сделать IDOR, то нас посылали.
Также мы не можем поменять номер телефона через профиль пользователя, приложение ругается, что номер уже занят.
Эксплуатация
Вернемся к нашему модулю из мобильного приложения, в этом модуле при изначальном открытии давалась возможность указать ФИО, дату рождения и почту. Я ввел, сохранил, смотрю на запрос и вижу в теле запроса такое:
Перешел в основной профиль и вижу, что эта почта применилась и она уже как подтвержденная. И тут становится понятно, что через данный эндпоинт также можно редактировать профиль и данные никак не проверяются. Добавил в тело параметр
Ура, теперь я могу менять на любой номер, который уже зарегистрирован в приложении. Можно дергать объекты, так как приложение смотрит на номер при проверке и он совпадет с легитимным.
#MA #mobile #api
Еще один пример, который доказывает, что очень важно изучать каждый интерфейс в приложении.
Недавно нашел Mass Assignment через мобильное API в дополнительном модуле приложения, которая была доступна только через мобильное приложение.
Mass Assignment приводил к частичному захвату аккаунта.
Рекон
При изучении мобильного приложения, я наткнулся на некий дополнительный модуль в приложении, который подгружался внутри приложения и отличался внешне, а также был другой поддомен.
Предыстория
Регистрация в приложении происходит cс помощью номера телефона и если есть уже зарегистрированный номер, то при регистрации приложение говорит, что такой номер есть и не дает нам зарегистрироваться. Но что важно, почему это частичный захват аккаунта, приложение при обращении к критическим объектам в аккаунте пользователя проверку осуществлял на основе номера. То есть, приложение знает, какой номер изначально имел доступ к этому объекту и если мы пытались сделать IDOR, то нас посылали.
Также мы не можем поменять номер телефона через профиль пользователя, приложение ругается, что номер уже занят.
Эксплуатация
Вернемся к нашему модулю из мобильного приложения, в этом модуле при изначальном открытии давалась возможность указать ФИО, дату рождения и почту. Я ввел, сохранил, смотрю на запрос и вижу в теле запроса такое:
{“name”:””,“surname”:””,“lastname”:””,“birthDate”:””,“emailConfirmed”:”false”,“email”:””}
Внимание цепляет параметр emailConfirmed, быстро меняю на true, вставляю рандомную почту и отправляю запрос. Перешел в основной профиль и вижу, что эта почта применилась и она уже как подтвержденная. И тут становится понятно, что через данный эндпоинт также можно редактировать профиль и данные никак не проверяются. Добавил в тело параметр
“phone”:”79999999999” и отправил запрос. Ура, теперь я могу менять на любой номер, который уже зарегистрирован в приложении. Можно дергать объекты, так как приложение смотрит на номер при проверке и он совпадет с легитимным.
#MA #mobile #api
🔥45❤🔥7👍6👏3👎1
Forwarded from Standoff 365
This media is not supported in your browser
VIEW IN TELEGRAM
Для этичных хакеров вендоры откроют приватный скоуп, недоступный другим исследователям безопасности. За найденные баги хакеры получат вознаграждения, а вендоры смогут усилить свою защищенность. В завершающий день Moscow Hacking Week все соберутся вместе, чтобы классно провести время и обсудить, кто сколько заработал в айфонах.
На предыдущем ивенте багхантеры заработали 10 миллионов рублей менее чем за две недели, а после — тусанули в Сочи
Как попасть?
1️⃣ Написать крутую статью или снять видео о прикладной безопасности до 15 октября. Всего мы разыграем шесть инвайтов.
2️⃣ Принять участие в конкурсе от Рамазана (aka r0hack): описать обнаруженный вами вектор атаки на логику приложения.
3️⃣ А еще получить инвайт можно было от канала «Багхантер», приняв участие в конкурсе докладов. Подать заявку уже нельзя, но можно будет посмотреть конференцию с докладами, автор лучшего из которых получит инвайт.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6❤🔥3🔥1
Forwarded from Information Security Memes
This media is not supported in your browser
VIEW IN TELEGRAM
😁88❤🔥9🔥3👍2
Bounty On Coffee
10го ноября стартует третий Standoff Hacks. Первый прошел в мае, туда меня не позвали. Второй прошел в августе, а очная часть в Красной Поляне. На втором хаксе я сдал 60 багов и 70-80 процентов из этих багов были логическими. Многие знают, что я любитель…
На данный подано 4 заявки. Если кто-то собирался под конец срока подать, то пора.
P.S. Я думал будет больше желающих получить возможность налутать пару лямов за 2 недели 😁
P.S. Я думал будет больше желающих получить возможность налутать пару лямов за 2 недели 😁
😁9❤🔥4👎1👏1
Bounty On Coffee
10го ноября стартует третий Standoff Hacks. Первый прошел в мае, туда меня не позвали. Второй прошел в августе, а очная часть в Красной Поляне. На втором хаксе я сдал 60 багов и 70-80 процентов из этих багов были логическими. Многие знают, что я любитель…
Победителем у нас становится Иван (@fle_xxx) и получает проходу на Standoff Hacks #3
В одном из маркетплейсов, с помощью цепочки багов, которые возникали на самом маркетплейсе и в его платежном модуле, Иван мог угнать сессионную куку пользователя.
А второе место забирает @lewaper. Он нашел багу в соцсети, где можно было манипулировать значением параметра и полностью ломать профили других пользователей.
🎉🎉
В одном из маркетплейсов, с помощью цепочки багов, которые возникали на самом маркетплейсе и в его платежном модуле, Иван мог угнать сессионную куку пользователя.
А второе место забирает @lewaper. Он нашел багу в соцсети, где можно было манипулировать значением параметра и полностью ломать профили других пользователей.
🎉
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥20🔥9👏7👎1
🔥47👏6❤🔥5👍2👎1😁1
Кстати, тут завезли еще одну конфу по ИБ от JUGru - https://safecodeconf.ru/
Спрос растет и скоро из уютного маленького комьюнити превратимся в большую и уютную (или неуютную?)
P.S. только я вообще не понял по программному комитету, из ИБ комьюнити только 2-3 человека....
P.S.S. видимо скоро выкатит еще и Ontico.
Спрос растет и скоро из уютного маленького комьюнити превратимся в большую и уютную (или неуютную?)
P.S. только я вообще не понял по программному комитету, из ИБ комьюнити только 2-3 человека....
P.S.S. видимо скоро выкатит еще и Ontico.
👍4🔥2❤🔥1👏1
Cyber Media
🔎 Багбаунти по-нашему, или Как развиваются российские платформы сегодня
За последние два года многие российские багхантеры и вендоры перешли на отечественные багбаунти-площадки. За это время им удалось оценить как минусы, там и плюсы платформ.
➡️ О них, а также о перспективах российского рынка Bug Bounty – в новой статье на сайте.
За последние два года многие российские багхантеры и вендоры перешли на отечественные багбаунти-площадки. За это время им удалось оценить как минусы, там и плюсы платформ.
Тут оставлял комментарий:
> Российские платформы на данный момент еще достаточно сырые. Хотя некоторые могут сильно измениться. Большие обновления, по моим инсайтам, готовят Standoff и BI.ZONE.
И я видел то, как они будут выглядеть в ближайшем будущем. И это точно прям сильно лучше, чем то, что есть сейчас.
> Российские платформы на данный момент еще достаточно сырые. Хотя некоторые могут сильно измениться. Большие обновления, по моим инсайтам, готовят Standoff и BI.ZONE.
И я видел то, как они будут выглядеть в ближайшем будущем. И это точно прям сильно лучше, чем то, что есть сейчас.
👍15❤🔥4👎1
Интересный ресерч от коллеги @HaHacking. По Email инъекциям.
https://blog.deteact.com/ru/e-mail-injection/
https://blog.deteact.com/ru/e-mail-injection/
🔥20👍4❤🔥2
Рекомендую для новичков!, кроме тестить все по чуть-чуть 🤏. Чаще всего ни к чему не приведет.
👍1
Forwarded from 8ug8ear
Если вы задаетесь мыслями "как вкатится в багхантинг".
Или если вы опытный и вас постоянно спрашивают: как новичку найти уязвимость, когдаr0hack остальные багхантеры уже все нашли :)
https://teletype.in/@8ug8eer/testing_theory_by_novice_bughunter
Багбаунти — это публичная программа поиска уязвимостей за вознаграждение
Или если вы опытный и вас постоянно спрашивают: как новичку найти уязвимость, когда
https://teletype.in/@8ug8eer/testing_theory_by_novice_bughunter
Teletype
Способы багхантинга, проверенные начинающим багхантером или как AppSec баги искал
Всем привет, меня зовут Аня. Я работаю AppSec-м: встраиваю сканеры в пайплайн, пишу правила, документацию, учу как не допускать...
🔥17👍4😁2