Privilege Escalation – еще один тип недостатка, который достаточно часто можно встретить в бизнес-логике приложений.

Повышение привилегий принято разделять на 2 части:
1. Вертикальное повышение привилегий – это когда мы с правами юзера, можем получить доступ к правам админа.
2. Горизонтальное повышение привилегий – это когда мы с правами пользователя, можем получить доступ к объектам другого пользователя. Но я такое поведение обычно называю Improper Access. Сейчас нам больше интересен первый пункт.

Почему такое вообще происходит? Причин несколько, по крайней мере те, которые знаю я:
- Всему виной Mass Assignment,
- Кривая реализация ролевой модели

С кривой реализацией ролевой модели на проектах сталкиваемся очень часто. Чаще всего это довольно простые и примитивные баги. Из всех таких простых багов можно выделить некоторые по крутому импакту, например, под сессией обычного пользователя можем создавать новых пользователей, в том числе админских или повышать себя до админа. Но встречаются и интересные кейсы, где для достижения цели нужно выполнить несколько шагов. Про некоторые подробнее расскажу позже.

А можно это как-то автоматизировать?
Да, можно, не полностью конечно, но время на поиск простых багов можно сократить в несколько раз. Мне для этого почти везде вполне хватает бурпового плагина Autorize

#logic #privilege #pentest

Autorize - плагин в бурпе, который помогает в полуавтоматическом режиме проверять такие недостатки, как IDOR, Improper Access, Privilege Escalation.

Плюсы плагина:
- Помогает избежать рутины
- Можно достаточно удобно настроить под себя
- Ну и самое главное, позволяет экономить время.

Принцип работы очень простой, в поле headers закидываем сессионные куки или любой другой хедер авторизации первого пользователя, а сами идем в браузер и тыкаем в функционал со второго пользователя. И плагин нам показывает, доступен ли нам этот функционал под сессией первого пользователя и вообще без сессионного токена.

По настройкам, рекомендую указывать Scope items only (если конечно вы настраиваете изначально проект), чтобы всякий хлам не летел в плагин. Также настроить регулярки для отсечения не нужных расширений.

Роадмап для тех, кто хочет попробовать себя в роли ТимЛида: https://tlroadmap.io/

Она конечно больше для разрабов, но полезна будет для всех в любом случае.
Также ветку TechLead я сейчас адаптирую под пентестеров, позже выложу эту версию тоже.

#teamlead #roadmap

Очень простой способ автоматизировать мониторинг новых поддоменов и IP адресов с уведомлением в телеграмм бот.

./monitor.sh av.ru av.ru.txt

Запускаем в скрине и забываем. По мере необходимости что-то можно убрать отсюда, например, httpx, если нам не только веб хосты нужны. Или наоборот, убрать jfscan, если мы хотим проверять отдельно пару веб портов.

Для отправки уведомлений в телегу, в конфигурационный файл notify нужно положить токен бота.

Если вкратце:
subfinder - для поиска поддоменов
jfscan - для быстрого скана нужных нам портов
httpx - детектим вебчик
anew - сравнивает содержимое первого файла, где уже собрали данные, с новыми хостами и если обнаружили хост, который отсутствовал в файле он и его туда добавляет
notify - а эта тулза этот хост уже отправляет к нам в телегу.

#tools #recon

Пример того, как это выглядит.
З.Ы. можно запариться и сделать более красиво. Но мне такой БагХантинг в принципе не очень нравится. Обычно так мониторил на пентестах, где мы ломали огромный скоуп внешки и длился он около 2 месяцев.

Также было на ББ, где я надолго останавливался, например, AV или СитиМобил.

Если пентестер в Голландии найдёт какую-то уязвимость в государственной ИТ-инфраструктуре и сообщит об этом властям, они пришлют футболку, на которой написано: «Я хакнул правительство Голландии и все что мне за это дали – эту паршивую футболку».

Доступно про поиск XSS-уязвимостей

https://www.youtube.com/watch?v=EmJnUqFgaK8

VK выкатили свои программы на ББ платформу Позитивов: bugbounty.standoff365.com/vendors/vk

Насколько я понял, тут еще не все, пока только 11 сервисов. Максимальная выплата до 1.8млн
Не хватает таких жирных сервисов, как Delivery Club.

Ну и СитиМобила больше не будет 🥲.

Временно сделал перерыв в жонглировании кавычками и поехал в горы!

Кто будет в Алматы 16го сентября? Го на КХС, пообщаемся за бизнес-логику!

Сегодня мы хотим рассказать вам об еще одном спикере который выступит на нашей конференции и поделится с вами очень интересной информацией!

Знакомьтесь - Рамазанов Рамазан, также известный как r0hack.
Пентестер, Багхантер, TechLead.
Работает в компании DeteAct.

🎤Тема доклада: Ломаем бизнес-логику в современных веб-приложениях

Рамазан расскажет нам о том:
- Как выглядит бизнес-логика в современных приложениях?
- Почему стоит уделять внимание на бизнес-логику приложения?
- А как ломать эту логику?
- Реальные кейсы с логическими багами за последние 3 года

Не пропусти его доклад!

P.S. Регистрация уже открыта на сайте
https://kazhackstan.kz/

🗓14-16 сентября 2022 г.
📌г. Алматы, Дом приемов "Бакшасарай", ул. Тимирязева 42 к1

​​🔍 Автоматизируем поиск хостов через Censys

Много статей и публикаций написано про Shodan, поэтому поговорим про другие поисковые системы. Про них многие забывают, однако делать этого не стоит, ведь тут могут попасться уязвимые таргеты, которых нет в Shodan.

Сегодня поговорим про Censys. Так же как и в Shodan здесь есть консольный инструмент, который требуется установить:

pip install censys

и задать свои API ID и Secret, через команду:

censys config

Теперь все готово к работе и мы можем поискать новые хосты. Базовая команда для поиска по списку доменов будет выглядеть как-то так:

cat domain.list | xargs -I@ bash -c 'censys search "services.tls.certificates.leaf_data.subject.common_name:@" --index-type hosts -o @.ssl.censys.json'

Затем выводим все IP и добавляем их в файл censys.list:

cat *censys.json | jq -c '.[] | {ip: .ip}' | sed 's/[^0-9,.]*//g' | anew censys.list

Однако, стоит учитывать, что для бесплатного тарифа стоит ограничение на 100 результатов для каждого запроса. Этого хватит для небольших организаций, но однозначно будет мало для крупных.

Чтобы немного решить эту проблему, можно уточнить запросы, например, искать по конкретному софту или по определенным кодам ответов (проявите фантазию).

Например, мы можем найти все хосты с BIG-IP:

cat domain.list | xargs -I@ bash -c 'censys search "(services.tls.certificates.leaf_data.subject.common_name:@) and services.software.product=\"BIG-IP LTM\"" --index-type hosts -o @.bigip.ssl.censys.json'

или все хосты с Confluence:

cat domain.list | xargs -I@ bash -c 'censys search "(services.tls.certificates.leaf_data.subject.common_name:@) and services.software.product=\"Confluence\"" --index-type hosts -o @.confluence.ssl.censys.json'

или все хосты с кодом ответа 200:

cat domain.list | xargs -I@ bash -c 'censys search "(services.tls.certificates.leaf_data.subject.common_name:@) and services.http.response.status_code:200" --index-type hosts -o @.200.ssl.censys.json'

#web #recon

#speeches
В ноябре буду еще выступать с докладом на HeisenBug

В общем получается 3 спича:
1) KHS - 16 сентябрь
2) HeisenBug - 8 ноябрь
3) HighLoad++ - 25 ноябрь

Off Zone

В этот четверг найдёте стенд нашей команды на конференции OffZone 2022, на которой мы являемся партнёрами.
Приходите к нам на огонёк узнать про анализ защищённости и Red Teaming, про DevSecOps и Pentest as a Service и пользу этих сервисов для бизнеса.

Если вы сами хакер_ка, приходите порешать конкурсные задачки или оценить свои скиллы на наших стендах для кандидатов.
We're hiring!

На стенде хакерам 6 раз за 2 дня будет дан шанс обойти соперников и забрать приз.
Каждые 2 часа в первый и во второй день будет открываться новая задача, за первое решение которой будет приз.
Устали аутировать по 2 дня, непрерывно решая таски? Хотите не только хакать, но и общаться и ходить на доклады?
Приходите на наш CTF и станьте победителем, решив всего одну задачу!
Примерные категории — Web, Infra, Mobile, Smart Contracts

А вот почему не был Delivery Club изначально в программе, продали Яндексу: https://amp.rbc.ru/rbcnews/technology_and_media/23/08/2022/63047eb39a7947f9e188470d

Теперь багхантинг в Delivery станет мучением, поэтому многие конечно же уйдут оттуда :)

На стенде у Codeby на OffZone хорошие призы. На фото рюкзак и павербанк за квиз.
А сегодня вообще будут разыгрывать 2 самоката!

​​🦊 Подборка браузерных расширений для Bug Bounty и пентеста

Некоторые расширения для браузера, которые помогают находить ошибки безопасности во время просмотра страницы.

▫️ KNOXSS для XSS
Расширение предназначено для поиска XSS уязвимостей, когда мы просматриваем веб-сайт. Доступно в двух версиях: бесплатная Community Edition и платная Pro версия.

▫️ Wappalyzer
Определяет CMS, JS-библиотеки, фреймворки и другие технологии, используемые на сайте. Это поможет вам сосредоточить процесс разведки на определенной технологии и ее версии.

▫️ Hackbar
Содержит полезные нагрузки для XSS-атак, SQL-инъекций, обхода WAF, LFI и т. д.

▫️ DotGit
Расширение для проверки наличия .git на посещаемых веб-сайтах. Также проверяет открытые файлы .env, security.txt и многое другое.

▫️ ModHeader
Помогает легко изменять заголовки HTTP-запросов и ответов в браузере.

▫️ Beautifier & Minify
Приводит в читабельный вид CSS, HTML и JavaScript код.

▫️ Retire.js
Отображает наличие уязвимих библиотек JavaScript. Это помогает найти известные уязвимости в JS и некоторые CVE, влияющие на сайты с уязвимой JS библиотекой.

▫️ Email Extractor
Автоматически сохраняет адреса электронной почты с веб-страниц, которые мы посещаем. Помогает при проведении атак социальной инженерии, брутфорс атак и т. д.

▫️ TruffleHog Chrome Extension
Сканирует посещаемые веб-сайты в поисках API ключей и учетных данных и уведомляет вас, если они будут найдены.

▫️ Fake Filler
Цель этого расширения — упростить и ускорить тестирование заполняемых форм разработчиками и тестировщиками. Помогает заполнить все формы ввода (текстовые поля, области, раскрывающиеся списки и т. д.) поддельными и случайно сгенерированными данными.

▫️ Cookie Editor
Позволяет изменять, удалять, добавлять значения cookie для различных целей тестирования. Можно протестировать на ошибки контроля доступа, повышение привилегий и т. д.

#web

Мой топ самых часто используемых плагинов Burp Suite.

✅ Turbo Intruder
Навороченная, много потоковая, версия Intruder. Хорошо проявляет себя при тестировании Race Condition. Также часто использую при переборе OTP.

✅ Autorize
Must Have при тестировании логики приложений. Подробнее уже описывал тут.

✅ Param Miner
Помогает находит скрытые куки, HTTP-заголовки, параметры. Можно находить такие уязвимости, как Web Cache Poisoning

✅ IP Rotator
Удобный плагин, который помогает легко обходить всякие рейт лимиты, если они по IP.

✅ BackSlash + Active Scan ++
Эти плагины в сочетании с основным сканером Burp Suite дают хороший выхлоп. Параллельно с ручным фаззингом можно запустить их, только осторожно с эндпоинтами на создание/изменение/удаление.

✅ JS Miner
Плагин помогает находить всякие полезные данные в JS и JSON файлах. Только вот Burp’у от него иногда бывает плохо.

✅ HTTP Mock
Хорошее дополнение к Match&Replace, который помогает менять не только кусочек ответа, а целиком ответ.

✅ GraphQL Raider
Сильно помогает при тестировании API с GraphQL

✅ PDF Viewer
Плагин умеет прямо в бурпе открывать PDF файлы.

Также всякие Upload Scanner, InQL Scanner, HTTP Request Smuggler, NGINX Alias Traversal, CSP Bypass, NTLM Challenge Decoder, OpenAPI Parser которые используются намного реже.

#burp #plugins

На БагБаунти платят не только деньгами, едой и бонусами, но и …

Очень крутой MindMap, который поможет при тестирования безопасности API.

Разделен на 2 части:
- Разведка
- Тестирование

➡️ https://dsopas.github.io/MindAPI/play/

#api #pentest