Веб-пентестер (Junior+/Middle- — Middle+)

Continuous Technologies (бренд DeteAct) — растущая компания, предоставляющая сервисы и разрабатывающая продукты в сфере кибербезопасности.
Мы — одни из лидеров на рынке услуг по оценке защищённости в России.
Мы помогаем клиентам обнаруживать уязвимости и действовать для их устранения, опередив злоумышленников.

Задача: участие в проектах по тестированию на проникновение и анализу защищённости приложений.
Вилка: 120-170 т.р. на руки

Обязанности:
— Анализ защищённости веб-приложений, фронтендов, API, исходного кода,
— Работа в команде как с российскими, так и зарубежными заказчиками (корпорации, стартапы, банки, компании любого размера и из различных индустрий),
— При желании: совместные исследования, разработка продуктов и сервисов, участие в соревнованиях и конференциях.

Примерные требования:
— Опыт проведения пентестов, понимание методологии, умение находить, эксплуатировать и объяснять основные веб-уязвимости,
— Уверенное владение всем необходимым инструментарием (Burp Suite, расширения, различные сканеры и нюансы их конфигурации) и технологическим стеком (программирование),
— Умение формулировать стандартные рекомендации по исправлению багов,
— Умение корректно оценивать уровень риска уязвимостей, придумывать атаки на бизнес-логику.

Условия:
— Работа удалённо или в московском офисе в БЦ "Савёловский Сити",
— Молодой коллектив и быстрорастущая компания,
— Время на исследования и публикации,
— Участие в конференциях и обучение.

HH: https://hh.ru/vacancy/68107810
В ЛС (neprivet.ru): @r0hack или @beched

#tools #pentest #whitebox

Недавно наткнулся на эту тулзу: https://github.com/Yelp/detect-secrets
Для поиска захордкоженных данных в коде.
Поинтереснее, чем остальные подобные тулзы.
-

Хм, интересная альтернатива для:
1. Nmap/Masscan
2. Subfinder -d hackerone.com | httpx -p ports

Тройка инструментов findomain, unimap, fhc для супер понятного и быстрого сбора открытых веб портов:
findomain -qt hackerone.com | unimap --fast-scan --stdin --url-output | fhc

1) findomain - ищем поддомены
2) unimap - быстренько сканим порты
3) fhc - чекаем на доступный вебчик
4) PROFIT!

https://github.com/OWASP/ASVS/blob/master/4.0/OWASP%20Application%20Security%20Verification%20Standard%204.0.3-ru.pdf за адаптацию и перевод спасибо Андрею Титову

Privilege Escalation – еще один тип недостатка, который достаточно часто можно встретить в бизнес-логике приложений.

Повышение привилегий принято разделять на 2 части:
1. Вертикальное повышение привилегий – это когда мы с правами юзера, можем получить доступ к правам админа.
2. Горизонтальное повышение привилегий – это когда мы с правами пользователя, можем получить доступ к объектам другого пользователя. Но я такое поведение обычно называю Improper Access. Сейчас нам больше интересен первый пункт.

Почему такое вообще происходит? Причин несколько, по крайней мере те, которые знаю я:
- Всему виной Mass Assignment,
- Кривая реализация ролевой модели

С кривой реализацией ролевой модели на проектах сталкиваемся очень часто. Чаще всего это довольно простые и примитивные баги. Из всех таких простых багов можно выделить некоторые по крутому импакту, например, под сессией обычного пользователя можем создавать новых пользователей, в том числе админских или повышать себя до админа. Но встречаются и интересные кейсы, где для достижения цели нужно выполнить несколько шагов. Про некоторые подробнее расскажу позже.

А можно это как-то автоматизировать?
Да, можно, не полностью конечно, но время на поиск простых багов можно сократить в несколько раз. Мне для этого почти везде вполне хватает бурпового плагина Autorize

#logic #privilege #pentest

Autorize - плагин в бурпе, который помогает в полуавтоматическом режиме проверять такие недостатки, как IDOR, Improper Access, Privilege Escalation.

Плюсы плагина:
- Помогает избежать рутины
- Можно достаточно удобно настроить под себя
- Ну и самое главное, позволяет экономить время.

Принцип работы очень простой, в поле headers закидываем сессионные куки или любой другой хедер авторизации первого пользователя, а сами идем в браузер и тыкаем в функционал со второго пользователя. И плагин нам показывает, доступен ли нам этот функционал под сессией первого пользователя и вообще без сессионного токена.

По настройкам, рекомендую указывать Scope items only (если конечно вы настраиваете изначально проект), чтобы всякий хлам не летел в плагин. Также настроить регулярки для отсечения не нужных расширений.

Роадмап для тех, кто хочет попробовать себя в роли ТимЛида: https://tlroadmap.io/

Она конечно больше для разрабов, но полезна будет для всех в любом случае.
Также ветку TechLead я сейчас адаптирую под пентестеров, позже выложу эту версию тоже.

#teamlead #roadmap

Очень простой способ автоматизировать мониторинг новых поддоменов и IP адресов с уведомлением в телеграмм бот.

./monitor.sh av.ru av.ru.txt

Запускаем в скрине и забываем. По мере необходимости что-то можно убрать отсюда, например, httpx, если нам не только веб хосты нужны. Или наоборот, убрать jfscan, если мы хотим проверять отдельно пару веб портов.

Для отправки уведомлений в телегу, в конфигурационный файл notify нужно положить токен бота.

Если вкратце:
subfinder - для поиска поддоменов
jfscan - для быстрого скана нужных нам портов
httpx - детектим вебчик
anew - сравнивает содержимое первого файла, где уже собрали данные, с новыми хостами и если обнаружили хост, который отсутствовал в файле он и его туда добавляет
notify - а эта тулза этот хост уже отправляет к нам в телегу.

#tools #recon

Пример того, как это выглядит.
З.Ы. можно запариться и сделать более красиво. Но мне такой БагХантинг в принципе не очень нравится. Обычно так мониторил на пентестах, где мы ломали огромный скоуп внешки и длился он около 2 месяцев.

Также было на ББ, где я надолго останавливался, например, AV или СитиМобил.

Если пентестер в Голландии найдёт какую-то уязвимость в государственной ИТ-инфраструктуре и сообщит об этом властям, они пришлют футболку, на которой написано: «Я хакнул правительство Голландии и все что мне за это дали – эту паршивую футболку».

Доступно про поиск XSS-уязвимостей

https://www.youtube.com/watch?v=EmJnUqFgaK8

VK выкатили свои программы на ББ платформу Позитивов: bugbounty.standoff365.com/vendors/vk

Насколько я понял, тут еще не все, пока только 11 сервисов. Максимальная выплата до 1.8млн
Не хватает таких жирных сервисов, как Delivery Club.

Ну и СитиМобила больше не будет 🥲.

Временно сделал перерыв в жонглировании кавычками и поехал в горы!

Кто будет в Алматы 16го сентября? Го на КХС, пообщаемся за бизнес-логику!

Сегодня мы хотим рассказать вам об еще одном спикере который выступит на нашей конференции и поделится с вами очень интересной информацией!

Знакомьтесь - Рамазанов Рамазан, также известный как r0hack.
Пентестер, Багхантер, TechLead.
Работает в компании DeteAct.

🎤Тема доклада: Ломаем бизнес-логику в современных веб-приложениях

Рамазан расскажет нам о том:
- Как выглядит бизнес-логика в современных приложениях?
- Почему стоит уделять внимание на бизнес-логику приложения?
- А как ломать эту логику?
- Реальные кейсы с логическими багами за последние 3 года

Не пропусти его доклад!

P.S. Регистрация уже открыта на сайте
https://kazhackstan.kz/

🗓14-16 сентября 2022 г.
📌г. Алматы, Дом приемов "Бакшасарай", ул. Тимирязева 42 к1

​​🔍 Автоматизируем поиск хостов через Censys

Много статей и публикаций написано про Shodan, поэтому поговорим про другие поисковые системы. Про них многие забывают, однако делать этого не стоит, ведь тут могут попасться уязвимые таргеты, которых нет в Shodan.

Сегодня поговорим про Censys. Так же как и в Shodan здесь есть консольный инструмент, который требуется установить:

pip install censys

и задать свои API ID и Secret, через команду:

censys config

Теперь все готово к работе и мы можем поискать новые хосты. Базовая команда для поиска по списку доменов будет выглядеть как-то так:

cat domain.list | xargs -I@ bash -c 'censys search "services.tls.certificates.leaf_data.subject.common_name:@" --index-type hosts -o @.ssl.censys.json'

Затем выводим все IP и добавляем их в файл censys.list:

cat *censys.json | jq -c '.[] | {ip: .ip}' | sed 's/[^0-9,.]*//g' | anew censys.list

Однако, стоит учитывать, что для бесплатного тарифа стоит ограничение на 100 результатов для каждого запроса. Этого хватит для небольших организаций, но однозначно будет мало для крупных.

Чтобы немного решить эту проблему, можно уточнить запросы, например, искать по конкретному софту или по определенным кодам ответов (проявите фантазию).

Например, мы можем найти все хосты с BIG-IP:

cat domain.list | xargs -I@ bash -c 'censys search "(services.tls.certificates.leaf_data.subject.common_name:@) and services.software.product=\"BIG-IP LTM\"" --index-type hosts -o @.bigip.ssl.censys.json'

или все хосты с Confluence:

cat domain.list | xargs -I@ bash -c 'censys search "(services.tls.certificates.leaf_data.subject.common_name:@) and services.software.product=\"Confluence\"" --index-type hosts -o @.confluence.ssl.censys.json'

или все хосты с кодом ответа 200:

cat domain.list | xargs -I@ bash -c 'censys search "(services.tls.certificates.leaf_data.subject.common_name:@) and services.http.response.status_code:200" --index-type hosts -o @.200.ssl.censys.json'

#web #recon

#speeches
В ноябре буду еще выступать с докладом на HeisenBug

В общем получается 3 спича:
1) KHS - 16 сентябрь
2) HeisenBug - 8 ноябрь
3) HighLoad++ - 25 ноябрь

Off Zone

В этот четверг найдёте стенд нашей команды на конференции OffZone 2022, на которой мы являемся партнёрами.
Приходите к нам на огонёк узнать про анализ защищённости и Red Teaming, про DevSecOps и Pentest as a Service и пользу этих сервисов для бизнеса.

Если вы сами хакер_ка, приходите порешать конкурсные задачки или оценить свои скиллы на наших стендах для кандидатов.
We're hiring!

На стенде хакерам 6 раз за 2 дня будет дан шанс обойти соперников и забрать приз.
Каждые 2 часа в первый и во второй день будет открываться новая задача, за первое решение которой будет приз.
Устали аутировать по 2 дня, непрерывно решая таски? Хотите не только хакать, но и общаться и ходить на доклады?
Приходите на наш CTF и станьте победителем, решив всего одну задачу!
Примерные категории — Web, Infra, Mobile, Smart Contracts