Прошлый кальян с текущей чайной церемонией, идеальное сочетание, не ?😁

Друзья, привет!

Хочу поделиться крутой новостью. Последний год мы работали над проектом, который, надеюсь, будет реально полезен для всего нашего комьюнити.

Запускаем @hackadvisor — платформу, где мы собрали информацию по популярным площадкам и публичным багбаунти-программам https://hackadvisor.io. Теперь каждый может поделиться своим опытом, оставить честный отзыв — будь то позитивный или негативный — и формировать независимый рейтинг на основе этих отзывов. Надеюсь, это станет толчком для компаний быть более честными и прозрачными по отношению к хакерам. Так у комьюнити будет больше понимания, какие программы адекватные, а к каким стоит присмотреться повнимательнее.

Мы также добавили возможность верификации для компаний. Это значит, что они смогут публично отвечать на отзывы, комментировать ситуации и показывать своё реальное отношение к багхантерам и безопасности в целом. Верим, что это важный шаг к открытому и честному диалогу между хакерами и компаниями.

Важно: любой хакер может оставить свой отзыв анонимно, просто указав случайный никнейм при регистрации. При этом, чтобы избежать накруток и буллинга программ, мы внедрили верификацию. Хакеру нужно будет подтвердить, что у него действительно есть учётная запись на выбранной площадке или в программе, о которой он оставляет отзыв. Хочу отдельно отметить, что эти данные остаются скрытыми и нигде не публикуются — анонимность и приватность для нас в приоритете.

И, конечно, не могу не сказать про людей, без которых этого всего бы не случилось.
Кто помогал на разных этапах — от идеи до запуска: @aosmanov @r0hack @ValyaRoller @c0rv4x @kuduzow @bikmetle @murphyrol @lincode_x. Спасибо вам за поддержку и вклад в этот проект!

Конечно, в мире нет идеальных вещей, и мы прекрасно это понимаем. Поэтому будем активно дорабатывать платформу, внедрять новые возможности и прислушиваться к потребностям комьюнити. Ваша обратная связь и идеи помогут сделать Hackadvisor ещё полезнее для всех.

Будем рады вашей поддержке, обратной связи и, конечно, отзывам на самой платформе. Заходите, тестируйте, делитесь с друзьями — давайте вместе сделаем нашу сферу лучше!

Изучая документацию jadx наткнулся на упоминание, что его можно подключить как библиотеку в свое Java приложение. И эта идея настолько понравилась, что в итоге вылилась в небольшой комбайн, который удобно использовать для первоначальной обработки JAR/WAR/APK приложений при анализе защищенности.

https://github.com/BlackFan/BFScan

BFScan анализирует строковые константы в Java-классах и ресурсах приложения для поиска строк, похожих на URL, пути или захардкоженные секреты.
А также формирует сырые HTTP запросы и OpenAPI спецификацию на основе конфигов, аннотаций методов и классов. При этом поддерживаются как клиентские библиотеки (например, Retrofit), используемые в APK для взаимодействия с бэкендом, так и серверные технологии, такие как Spring-аннотации. Что значительно облегчает тестирование API, когда тело HTTP запроса необходимо сформировать из десятка вложенных классов.

Рассмотрим пример работы утилиты с классом, использующим Spring-аннотации.

@RestController
@RequestMapping("/api")
public class UserController {

    @PostMapping("createUser")
    public String create(@RequestParam Optional<String> someParamName, @RequestBody User user) {
        return "response";
    }

В случае, если обрабатываемое приложение использует поддерживаемую библиотеку, утилита сгенерирует файл, содержащий все HTTP запросы, поддерживаемые приложением.

POST /api/createUser?someParamName=value HTTP/1.1
Host: localhost
Connection: close
Content-Type: application/json

{
  "name": "name",
  "age": 1
}

Приложение удобно использовать как для клиентских приложений, когда вы анализируете API мобильного приложения. Так и в случае, если вы получили скомпилированный JAR/WAR от серверного приложения, для поиска в нем захардкоженных секретов или дальнейшего анализа API эндпоинтов, которое оно обрабатывает.

Если приложение обфусцировано, что часто бывает с APK, утилита проанализирует все аннотации и, если они похожи на типичное объявление API эндпоинтов, построит HTTP запросы на основе них. В случае, если данная функциональность сработала неправильно, используя jadx вы можно легко сформировать mapping-файлы для переименования обфусцированных классов и корректного формирования HTTP-запросов.

Ошибки округления.

Но многие банки в условиях напишут такое и недостаток не принимается:

Уязвимости, связанные с неправильной реализации округлений на конверсионных 
переводах между расчетными, накопительными и иными банковскими счетами

Или примут у вас с минимальной оплатой и со словами: «Да антифрод это заметит». Не замечал я что-то , что антифрод замечал это.

И это уже не единственная история.

upd. Тут понятно, что в статье не именно про конвертацию.

Я подчеркиваю тот факт, при переводах связанных с ошибками округления, антифрод тоже это не замечает, по крайней мере там, где я встречал этот недостаток.

https://www.kommersant.ru/doc/7517131

Возобновляем посты у нас в блоге. Будем рассказывать про интересные кейсы с проектов.

Как несколько low-impact недостатков может привести к атаке с высоким уровнем риска?

Читайте в нашем блогпосте, где логические уязвимости и атаки на client-side, достойные CTF-таска за 300, мастерски скомбинированы для захвата аккаунта:

https://blog.deteact.ru/open-redirect-to-account-takeover/

P.S. Обещаем теперь чаще и системнее делиться опытом с наших проектов по тестированию на проникновение и анализу защищённости!

Server-Side XSS → SSRF → Компрометация облачной инфраструктуры: как одна картинка стоила целого облака

В этой статье разберем атаку, начавшуюся с уязвимости XSS в генераторе изображений и завершившуюся получением полного доступа к облачной инфраструктуре.

https://blog.deteact.ru/serverside-xss-ssrf-cloud-hacking/

Сборная России завоевала 8 медалей из 8 возможных на Международной олимпиаде по кибербезопасности (International Cybersecurity Olympiad, ICO) среди старшеклассников в Сингапуре. По количеству золотых медалей россиян обошли только хозяева олимпиады.

Ребята соревновались в решении задач по криптографии, бинарным уязвимостям, и веб уязвимостям и другим дисциплинам. Медали разного достоинства получили Максим Никитин, Алексей Новиков, Ильдар Хужиахметов, Георгий Балашов, Егор Заборов, Георгий Лагутин, Максим Еронин, Михаил Селин.

Подготовкой старшеклассников занимались эксперты из Центрального университета и «Лаборатории Касперского». В прошлом году они подготовили победителей престижной Международной олимпиады по искусственному интеллекту, обошедших участников из 39 стран. @banksta

Один забытый файл — и полный доступ к инфраструктуре

Новая статья в блоге DeteAct: как обнаруженный на внешнем периметре APK-файл стал началом цепочки, приведшей к полной компрометации внутренней сети.

Читать: 👉 От рекона до домена.

Запустили новый раздел на HackAdvisor - теперь каждый хакер может собрать и представить свою цифровую репутацию в одном месте.

✔️ Платформы (HackerOne, Bugcrowd, YesWeHack и др.)
✔️ Навыки, технологии, стек
✔️ Статистика, достижения, сигналы
✔️ Ссылки на Telegram, Twitter, LinkedIn

Мой профиль:
https://hackadvisor.io/hacker/k3ypt0

Скоро появится общий листинг - с фильтрацией по метрикам, направлениям, платформам и другим параметрам.

Если есть идеи, фидбэк или пожелания - welcome товарищи.

Как сказал мой друг «HR дуреют с этой прикормки»😂

Уязвимости в Electron-приложениях: RCE через небезопасную конфигурацию

В данной статье мы рассмотрим эксплуатацию приложений с отключенными параметрами contextIsolation: false и sandbox: false, что позволило нам выполнить произвольный код на целевой системе.

https://blog.deteact.ru/electron-rce/

Мы выпустили продолжение статьи, в котором расскажем как удалось захватить AD.
Читать: 👉 От рекона до домена. Часть 2.

Редтим в стиле Pwn2Own

Новый блогпост — про то, как иногда на проектах могут пригодиться навыки бинарной эксплуатации.

Расскажите, приходилось ли вам писать сплойты под бинарные баги на проектах по пентесту?

Читать 👉 https://blog.deteact.ru/red-teaming-pentest-pwn2own/

Заигрался в Cursor... Возник вопрос, вакансии разрабов еще есть на рынке?)
Очень впечатляет все это, за 20 баксов выполнено столько работы, сколько было бы быть выполнено за месяц несколькими джунами.
И это еще над промтами особо не парился.

До полноценного джуна пентестера не тянет пока, что-то делает очень хорошо, где-то вообще не то.
Но очень удобно использовать в роли помощника для ускорения рутиной работы.