Не особо люблю искать Client Side баги, на ББ вообще не ищу их. Но знать все равно надо, так как на пентестах часто встречаем.

И вот в очередной раз почитывал про DOM XSS и решал таски и наткнулся на интересный доклад Тани Новиковой про Frontend Security:
- распространенные ошибки, которые допускаются разработчиками,
- какие вектора атак существуют,
- как хакеры эксплуатируют уязвимости фронтенда
- как с этим всем бороться.

Видео версия
Текстовая версия

#front #client #xss

При эксплуатации SQL-инъекций почти всегда использую данный сервис: https://sqlwiki.netspi.com/

Чеклисты удобно распределены на:
- Каждый шаг эксплуатации
- Типы и техники
- Векторы атак БД
- И все это распределено по разным СУБД

Пропустил обновление в BurpSuite. Оказывается вкладки можно уже группировать. Жирный ➕ портсвигеру за это!

На этих выходных рубились в HTB Bussinnes CTF 2022

З.Ы. в прошлом году были 7

#kali

Для любителей Kali и читать книжки на русском от Codeby

Вчера СМИ (как русскоязычные, так и англоязычные) раструбили о том, что хакеры Deteact выложили дамп БД пользователей популярного сервиса «Webtotem», позволяющего анализировать безопасность ресурсов. 🤦‍♂️

🔥🔥Дамп датируется 26.05.2020 (подтверждается данными в нем). На текущий момент “расшифровано” более 1 млн. хешированных паролей и скоро мы опубликуем их анализ на уникальность. 😎

Веб-пентестер (Junior+/Middle- — Middle+)

Continuous Technologies (бренд DeteAct) — растущая компания, предоставляющая сервисы и разрабатывающая продукты в сфере кибербезопасности.
Мы — одни из лидеров на рынке услуг по оценке защищённости в России.
Мы помогаем клиентам обнаруживать уязвимости и действовать для их устранения, опередив злоумышленников.

Задача: участие в проектах по тестированию на проникновение и анализу защищённости приложений.
Вилка: 120-170 т.р. на руки

Обязанности:
— Анализ защищённости веб-приложений, фронтендов, API, исходного кода,
— Работа в команде как с российскими, так и зарубежными заказчиками (корпорации, стартапы, банки, компании любого размера и из различных индустрий),
— При желании: совместные исследования, разработка продуктов и сервисов, участие в соревнованиях и конференциях.

Примерные требования:
— Опыт проведения пентестов, понимание методологии, умение находить, эксплуатировать и объяснять основные веб-уязвимости,
— Уверенное владение всем необходимым инструментарием (Burp Suite, расширения, различные сканеры и нюансы их конфигурации) и технологическим стеком (программирование),
— Умение формулировать стандартные рекомендации по исправлению багов,
— Умение корректно оценивать уровень риска уязвимостей, придумывать атаки на бизнес-логику.

Условия:
— Работа удалённо или в московском офисе в БЦ "Савёловский Сити",
— Молодой коллектив и быстрорастущая компания,
— Время на исследования и публикации,
— Участие в конференциях и обучение.

HH: https://hh.ru/vacancy/68107810
В ЛС (neprivet.ru): @r0hack или @beched

#tools #pentest #whitebox

Недавно наткнулся на эту тулзу: https://github.com/Yelp/detect-secrets
Для поиска захордкоженных данных в коде.
Поинтереснее, чем остальные подобные тулзы.
-

Хм, интересная альтернатива для:
1. Nmap/Masscan
2. Subfinder -d hackerone.com | httpx -p ports

Тройка инструментов findomain, unimap, fhc для супер понятного и быстрого сбора открытых веб портов:
findomain -qt hackerone.com | unimap --fast-scan --stdin --url-output | fhc

1) findomain - ищем поддомены
2) unimap - быстренько сканим порты
3) fhc - чекаем на доступный вебчик
4) PROFIT!

https://github.com/OWASP/ASVS/blob/master/4.0/OWASP%20Application%20Security%20Verification%20Standard%204.0.3-ru.pdf за адаптацию и перевод спасибо Андрею Титову

Privilege Escalation – еще один тип недостатка, который достаточно часто можно встретить в бизнес-логике приложений.

Повышение привилегий принято разделять на 2 части:
1. Вертикальное повышение привилегий – это когда мы с правами юзера, можем получить доступ к правам админа.
2. Горизонтальное повышение привилегий – это когда мы с правами пользователя, можем получить доступ к объектам другого пользователя. Но я такое поведение обычно называю Improper Access. Сейчас нам больше интересен первый пункт.

Почему такое вообще происходит? Причин несколько, по крайней мере те, которые знаю я:
- Всему виной Mass Assignment,
- Кривая реализация ролевой модели

С кривой реализацией ролевой модели на проектах сталкиваемся очень часто. Чаще всего это довольно простые и примитивные баги. Из всех таких простых багов можно выделить некоторые по крутому импакту, например, под сессией обычного пользователя можем создавать новых пользователей, в том числе админских или повышать себя до админа. Но встречаются и интересные кейсы, где для достижения цели нужно выполнить несколько шагов. Про некоторые подробнее расскажу позже.

А можно это как-то автоматизировать?
Да, можно, не полностью конечно, но время на поиск простых багов можно сократить в несколько раз. Мне для этого почти везде вполне хватает бурпового плагина Autorize

#logic #privilege #pentest

Autorize - плагин в бурпе, который помогает в полуавтоматическом режиме проверять такие недостатки, как IDOR, Improper Access, Privilege Escalation.

Плюсы плагина:
- Помогает избежать рутины
- Можно достаточно удобно настроить под себя
- Ну и самое главное, позволяет экономить время.

Принцип работы очень простой, в поле headers закидываем сессионные куки или любой другой хедер авторизации первого пользователя, а сами идем в браузер и тыкаем в функционал со второго пользователя. И плагин нам показывает, доступен ли нам этот функционал под сессией первого пользователя и вообще без сессионного токена.

По настройкам, рекомендую указывать Scope items only (если конечно вы настраиваете изначально проект), чтобы всякий хлам не летел в плагин. Также настроить регулярки для отсечения не нужных расширений.

Роадмап для тех, кто хочет попробовать себя в роли ТимЛида: https://tlroadmap.io/

Она конечно больше для разрабов, но полезна будет для всех в любом случае.
Также ветку TechLead я сейчас адаптирую под пентестеров, позже выложу эту версию тоже.

#teamlead #roadmap

Очень простой способ автоматизировать мониторинг новых поддоменов и IP адресов с уведомлением в телеграмм бот.

./monitor.sh av.ru av.ru.txt

Запускаем в скрине и забываем. По мере необходимости что-то можно убрать отсюда, например, httpx, если нам не только веб хосты нужны. Или наоборот, убрать jfscan, если мы хотим проверять отдельно пару веб портов.

Для отправки уведомлений в телегу, в конфигурационный файл notify нужно положить токен бота.

Если вкратце:
subfinder - для поиска поддоменов
jfscan - для быстрого скана нужных нам портов
httpx - детектим вебчик
anew - сравнивает содержимое первого файла, где уже собрали данные, с новыми хостами и если обнаружили хост, который отсутствовал в файле он и его туда добавляет
notify - а эта тулза этот хост уже отправляет к нам в телегу.

#tools #recon

Пример того, как это выглядит.
З.Ы. можно запариться и сделать более красиво. Но мне такой БагХантинг в принципе не очень нравится. Обычно так мониторил на пентестах, где мы ломали огромный скоуп внешки и длился он около 2 месяцев.

Также было на ББ, где я надолго останавливался, например, AV или СитиМобил.

Если пентестер в Голландии найдёт какую-то уязвимость в государственной ИТ-инфраструктуре и сообщит об этом властям, они пришлют футболку, на которой написано: «Я хакнул правительство Голландии и все что мне за это дали – эту паршивую футболку».

Доступно про поиск XSS-уязвимостей

https://www.youtube.com/watch?v=EmJnUqFgaK8

VK выкатили свои программы на ББ платформу Позитивов: bugbounty.standoff365.com/vendors/vk

Насколько я понял, тут еще не все, пока только 11 сервисов. Максимальная выплата до 1.8млн
Не хватает таких жирных сервисов, как Delivery Club.

Ну и СитиМобила больше не будет 🥲.