Не исключено что эта заметка спасет кому-то жизнь поможет обойти хитроватый фильтр в приложении благодаря особенностям нормализации различных символов в вебчике.
https://0xacb.com/normalization_table
Автор этой таблички кстати так же автор весьма полезного проекта на гите.
https://github.com/0xacb/recollapse
PS: Ну и это не менее полезный проектик - https://gitlab.com/michenriksen/jdam

Поныл немного порталу Cyber Media о специфике оценки уязвимостей на разных багбаунти-платформах, опыте взаимодействия с триажерами и существующих стандартах в этой сфере. Ну и о проблемах тоже не забыл.
Холивар в чате объявляю открытым. Не держите в себе 😁

Нашел способ как закодироваться за собственные деньги от поиска багов у Пентагона и прочих компаний.
Так что не ждите историй о взломах в ближайшее время 💁‍♂️

Классный RoadMap подкинул мне по сертификациям один приятель.
https://pauljerimy.com/security-certification-roadmap/
И распределение сразу в нескольких плоскостях. И хинты есть по ценам.
Ну и оставлю тогда тут то, как определяет ценность сертификатов Synack. Их грэйды тоже в какой-то степени определяют значимости по уровням и различным критериям.
https://www.synack.com/red-team/pathways/

В нашем новом выпуске мы пригласили человека из мира мобильного багхантинга, активного участника форума Antichat, и автора проекта reFlutter. Его история вызывает восхищение и уважение 🦾
https://youtu.be/2KCSxYQ543M

В твиттере среди рисёрчеров произошла очередная драма. Топ рисёрчерам припекло что на лидербордах есть люди, которые майнят reputation score на vdp программах. Это когда можно отправить bug report, не получить за него денег, но получить +7 к репутации. И вот такими легкими багами на которые многие забили, можно зайти в топ100 hackerone. Или даже стать самы "крутым" хакеров какой-то из категорий.
Припекло так же что триажеры на платформах могут быть слишком утомленные тупыми багрепортами от VDP, из-за чего на платных программах происходят ошибки оценки. Ну и более длительный триаж процесс.
А еще есть элементы скама, когда программы имеют vpd и баунти программу. И если вы нашли крит и сдали на vdp, но не знали про приватную баунти программу - то никто вам доплату не сделает. Чистой воды скам конечно. Такое должно быть запрещено. Нужно уважать чужой труд и потраченное время.

Вообще там много понаписано. И меня удивляет как парни не могу отпустить ситуацию и как сильно они стараются "изгнать" vdp хакеров из лидербордов. Да не все ли равно кто где репорты отправляет?
PS: Лично мое мнение. VDP должны быть только у гос.программ и социально важных компаний. Когда coca-cola запускает бесплатную программу - это какой-то н%ёб💁‍♂️

Когда-то я уже шарил историю о том как рисёрчер раскопал багу связанную с шифрованием у Microsoft и даже сумел попасть в bug bounty портал MSRC.
В этот раз история еще более великолепная. Исследователю John Stawinski пришла в голову идея порисёрчить Microsoft DeepSpeed (open source deep learning optimization library) на предмет возможной компроментации self-hosted CI/CD runners.
Ну а чтоб это сделать - достаточно было получить права в опенсорс проекте с ролью контрибьютора. Ну и ему не составила труда в readme найти пару опечаток, сделать пул реквест и заполучить заветную роль. Дальше благодаря игнорированю рекомендаций по настройкам self hosted runners, им удалось запилить rce в системе, находящейся в AD Microsoft Redmond от пользователя являющегося Senior Developer working at Microsoft🔥.
Ссылочка на статью вот тут. Ну и очень крутое объяснение по классу этой проблемы можно почитать тут.
В Microsoft пробив периметра пофиксили за 2-3 дня, а в bug bounty MSRC рисёрчеам сказали, что бага out of scope и реварда не ждите. Что на мой взгляд показывает их пренебрежительное отношение к исследователям и их работе. Не удивлюсь если следующий пробив AD Redmond сделают ребята из рансомварьных группировок.

Те кто следил и спрашивал про обманутых долщиков Берлина.
У меня для вас хорошие новости. Вышло продолжение истории 😁
https://telegra.ph/Surovaya-realnost-porosyonka-v-Berline-Valeriy-Shevchenko-04-30

Кто угадает гостя? 😎

Уверен что тут тоже есть меломаны-читатели, кто может переключиться и быть мега продуктивным благодаря "правильной" музыке.
Буду признателен если поделитесь в комментариях чем-то интересным 😇
Вот мой плэйлист:
Worakls, Moby, Overwerk, Techo, Awolnation, Muse, Alt-J, Skrillex, Mø, Nora en pure, Linkin Park, Fort Minor, Serj Tankian

Моё знакомство с большими ревардами в bug bounty случилось на программах где менеджером был Roy Davis.
Он был таким приятным и легким в общении. Никогда не возникало ситуаций, в которых он мог повести себя как душнила или не учесть тех аргументов, которые я собрал для правильной оценки критичности. Я кстати выкладывал тут его интересный доклад об опыте взлома ATM.
А пол года назад мне удалось заслать ему уязвимость в Zoom Bug Bounty где он теперь работает. И он тоже классно разобрался с репортом и учел все аргументы, которые я привёл. Хотя ситуация для меня была ужасная, и я прошёл через все этапы страдния. От дубля, до триажнутой баги забытой в бэклоге из-за неправильной оценки при сортировке.
Могу сказать, что он точно повлиял на мой путь и на то где я сейчас и чему я научился за это время.
И вот теперь он выкладывает это видео о боковом амиотрофическом склерозе(ALS). Очень грустно ...
Берегите себя и своих близких 🫶

Примерно год назад мы с моим приятелем серьезно разломали Dell. Причем вектор атаки был не самым хитрым и во многом пришел с моей любимой историей про credential stuffing и еще одним наблюдением.
И вот вчера Dell сообщил об утечке клиентских данных.
У Вас закономерно вопрос - причём тут мы и причём тут эта новость?😁
Мы конечно прямого отношения к именно этой не имеем. Но Dell еще год назад выкопали себе хорошую яму, приняв следующее решение в отношении результатов иследований и всех последующих:

Dell can't control if internal employees reuse their credentials in third party systems
... such reports will be considered Informational without exception

Масштаб проблемы уже тогда был очень серьезным. При желании можно было даже положить бэкдор в каждое произведенное устройство. И вчерашняя новость - это просто закономерный результат 💁‍♂️