Годный cheat sheet подъехал в виде коллекции от Portswigger.
Подойдет тем кто пытается победить валидацию ssrf (и не только)
https://portswigger.net/web-security/ssrf/url-validation-bypass-cheat-sheet

Для всех санкционных подписчиков вышла очень полезная и долгожданная новость. Кажется дедушка Мартен с уходом из компании развязал руки разработчикам. И те в свою очередь добавили поддержку оплаты на прямые криптокошельки ERC20.
Астрологи прогнозируют волну новорегов на платформе 😏

По наводке из твиттера от bratvacorp посмотрел стэндап в исполнении Will Thomas (Threat Hunter from Equinix)
Стендап на тему Русских Жакеров.
Столько выводов странных конечно сделано в процессе перезентации 🤔 Особенно понравилось что из-за изоляции падают доходы. Надо бы ему стендап Поперечного показать. И пару фоточек как ребят из REvil суперкары привозят в топовой конфигурации.
Вывод простой - не верьте телевизору 😂

На прошедшей Troopers24 Conf было много интересных докладов. Мое внимание зацепило два доклада связанных с устройствами и сервисами Apple.
1) Hacking the Apple Watch. Очень крутой технический доклад, в котором рисерчер рассказывает о Alloy протоколе, об особенностях работы Apple Watch и Iphone друг с другом через vpn тунель. И немного раскрывает проблемы, которые удалось найти в процессе рисёрчинга. И предлагает интересные идеи на тему memory corruption в Alloy topics. До кучи он написал WatchWitch приложение позволяющее упростить жизнь исследователям в этом направлении. Ну и релизнул декодер сообщений
2) Free and Global SMS Communication via Iphone Satellite. Ребят качественно забурились в протокол работы фич и ограничений разных регионов. И в результате натыкали интересных уязвимостей. Очень крутой техничский доклад, который понятным языком разложен.
Чувствую в следующий раз вырвусь и доеду физически на эту конференцию. Максимально трушный CFP без странных докладов про smm секьюрити пабликов, выгорания и.т.д.

Недавно у меня возникла необходимость изучить пару приложений для Ipad, которые благополучно устанавливаются на macbook. Но было абсолютно не ясно как пропустить трафик приложений на macbook через burpsuite. Кто-то советовал воспользоваться виртуалками, кто-то советовал зацепить второй macbook к первому через burp proxy. Еще были мысли купить и рутануть ipad. Но я не мог себе даже представить, что решение вопроса может быть на столько простым.

По подсказке одного из товарищей, если у вас на компьютере стоит десктоп приложение, которое хочется пропустить через proxy. Достаточно пойти в настройки вашего подключения и прописать там ваш 127.0.0.1:8080. Ну и важно не забыть добавить абсолютное доверие на Burpsuite сертификат в keychain.

Я искренне думал что такое не должно работать. Ведь мы как будь то делаем proxy loop. Но по всей видимости абсолютный loop не достигается из-за loopback интерфейса.
Остается найти пару критов, ради которых затевался весь этот движ 😎

Вот и приехал долгожданный мерч от HackerOne с ивента h1-702, на который я благополучно не успел поехать из-за медлительного визового процесса.
Мерч классный и будет использоваться исключительно в праздничные дни 😁
Больше всего меня удивил весьма банальный плед, но не с банальной реализацией идеи. На пледе напечатаны постеры всех HackerOne Elite Hackers. И возможностей увековечить себя в истории на самом деле не так много - или офигенно работаешь на мероприятии, или собираешь 1M$ на платформе.
Вроде бы я собирался сбавить обороты и меньше хантить… Но все эти значимые вещи кажется снова не дают замедлить чёртово беличье колесо 🙈

Раз у HackerOne не получилось свозить меня в Vegas, то видимо решили искупить вину и свозить куда-то не так далеко.
В итоге получил приглашение принять участие в Security Global Tour 24' DACH.
Если кто-то из читателей надумает сходить на ивент или поговорить за кавычки после - пингуйте в личку 😉

Когда я вкатывал в bug bounty, то старался объяснить сам себе эффект Santiago Lopez. Это парнишка из Buenos Aires(Argentina), который одним из первых сделал 1M$ на платформе Hackerone. В профиле у него был всегда не самый высокий Impact/Signal. И его выплаты всегда были в размере 250-500$ за уязвимость - это всегда баги уровня low(иногда medium).
Однако за месяц у него могло быть 20-50 репортов с такими выплатами. В "хорошие" месяцы он буквально вынимает 25k$.
И вот с недавних пор он решил запустить свой приватный клуб для будущих миллионеров, где можно послушать "крутые" советы от мастера.
Ну и долго ждать не пришлось, пока кто-то возьмет и сольет запись одной из встреч такого клуба. На видео он рассказывает свою методологию. И она абсолютно совпадает с метриками, размером выплат, и стилем хакинга.
Если лень пересматривать эту встречу, то вот вам короткое summary:
- Берете максимально комплексную систему, например salesforce, atlassian, и начинаете её смотреть с точки зрения соответствий документации и поведения.
- Фиксируете все баги и расхождения в формате vulnerability reports
- Максимально играете на уровне custom settings продукта и проверяете поведение по документации. Что-то не сошлось - баг.
- Ищем XSS заполняя все поля и пытаем найти где можно обойти синтаксис для выполнения js
- Фокусируемся только на permissions model issues
- Не стремитесь искать сложное, опасное, из категории High-Critical. Лучше взять количеством.
- Регулярно тестируете даже в выходные. Не ведете заметки и чеклисты. Не выполняете recon. Не делаем автоматизацию.

У меня есть основания подозревать, что у него есть "миньоны", которые в тайне за процентик выполняют часть работы. Т.к чисто физически насыпать 1к репортов в Atlassian за пару месяцев и при этом продолжать исследовать Salesforce - кажется не реалистично для одного человека.
Зная как работают такие компании, и как выполняется продуктовое тестирование - охотно верю что QA Santiago Lopez может абьюзить систему и находить там одинаковые патерны ошибок опустошая security budget. Salesforce кажется вообще не умеет решать классовые проблемы продукта. Сам когда-то "абьюзил" их же системы, и все что они могли сделать - это triage и reward. Видимо легче заплатить чем решить проблему на корню.
Еще в стриме есть формулировка "I don't feel like the product is broken". И многие это не понимают. Но это очень часто помогает и мне, когда ты находишь какую-то фигню не связанную с security и она не исправлена, то скорее всего там может быть много ошибок связанных с security.

Вот теперь уже можно официально признать тот факт что DELL могли закрыть проблему год назад, но предпочли сэкономить 2500$ на critical репорте, засунули его в informative state и даже ничего не исправили!
Это реалии bug bounty management и policy. Когда важнее рисёрчера поставить на место, чем разбираться в проблеме, которая как будто не в твоей зоне отетственности. При этом как мне правильно подметили в комментах в твиттере - "Threat actors don't care about your bugbounty program's scope".

Теперь в новостях даже написано что "Hackers claim a second Dell data breach within a week, exposing sensitive internal files via compromised Atlassian tools. Allegedly, data from Jira, Jenkins, and Confluence was leaked.". Список затронутых систем в действительности более жирный - git, jira, confluence, jenkins, artifactory etc

Сейчас они героически порасследуют и скажут что ничего серьезного не украдено.
Однако сама проблема не в том что могло быть что-то украдено. А в том что обнаруженная нами ранее supply chain issue связанная с одним из подрядчиков, позволяла комитить в main, и ходить по репозиториям собирая hardcoded secrets от следующих сервисов. А вы что думали компания с офигенной капитализацией умеет в secret management? 😂

Когда мы это нашли, то ощущения были весьма стремные. Прикиньте такая большая контора, которая технику поставляет огромным корпорациям, а вы берете, заходите в их деплой системы и можете вредоноса оставить, и в системах закрепиться, и никто это даже исправлять не хочет 🫠

Думаю многие из вас слышали такую компаний как Detectify. И думаю многие из вас знают что одним из кофаундеров этого проекта, и основным "двигателем прогресса" был Frans Rosén. Он делал для компании маркетинг через секьюрити рисёрчи. Продвигал возможности исследователям монетизации уязвимостей через платформу. Вообще для меня Detectify был а ассоциации с Frans Rosén.
В начале сентября его доля в компании была передана в пользу текущего руководства. Подозреваю что он бы не оставил "своего ребенка" после стольких лет работы. Очень жаль что текущее руководство выбрало странный стиль управления и развития компании. Максимально спорное решение, которое в перспективе ни к чему хорошему не приведет.

Но Франс такой человек, который точно не нуждается в том, что его нужно жалеть. Пару дней назад он забрал уже четвертый MVH титул на Live Hacking Event, где основным кастомером был Amazon. С учетом что это достаточно сложный таргет, Франс в очередной раз доказал свое место в индустрии. Респект!

Синоптики обещают, что следующая неделя станет неделей переработок, бессонных ночей и попыток найти всё, о чём могли забыть или не знать.
Спасибо Linux CVSS 9.9 RCE и итальянскому исследователю Simone Margaritelli 😰
"The vulnerability, which allows for unauthenticated remote code execution (RCE), has been acknowledged by major industry players like Canonical and Red Hat, who have confirmed its severity with a CVSS score of 9.9 out of 10."

Update: Комментарии от самого исследователя - "it's bad but not shellshock bad ... tbh i think the initial 9.9 has been assigned because it's trivial to exploit and it's extremely widespread ... yet, it's not that bad, you'll see"

В bug bounty программе TikTok завелся старательный исследователь. Он не был приглашен на последний event от Hackerone (немного слов о справедливости распределения инвайтов). И даже после ивента где выгребли 1M$, он продолжает выгребать уязвимости.
Сейчас он опубликовал весьма стремную историю. И в целом из-за этой истории, американцы могут дальше продолжить топить приложение в легальном поле. Парниша конечно зря такое написал, и вероятно скоро даже удалит этот пост. Но интернет все помнит 😉
А TikTok ничего не удаляет 💁🏻‍♂️

В HackerOne Leaderboard с недавних пор появилось разделение по технологиям. Теперь можно посмотреть, кто лучший веб-хакер, кто лучший специалист по мобильным приложениям. Но что более интересно — можно увидеть, кто лучший AI-хакер.
Правда, после этого можно узнать, в каких программах участвуют эти исследователи, и сделать соответствующие выводы о надежности того или иного AI-решения 🙈.

Однако, пока за год статистика не слишком впечатляющая, и в общей массе уязвимостей за год сдано довольно мало.
PS: Нашел пару знакомых ребят в списке. Попробую узнать и рассказать что же там за AI баги такие находят 😉

Выглядело это всё дело как уверенный пятизнак🤑
Но посмотрим что будет в итоге. Ведь первое правило в bug bounty - ноль ожиданий!
Ребят из Amazon и так на днях потратили 2M$ на HackerOne Live Event. И думаю могли быть не готовы к таким интересным поворотам судьбы.

Полезный лайфхак. Сервис явно напрашивался на кавычку. Но вот беда - был нужен юзер, под которым можно кавычку вставить. Зарегать своего юзера не позволяло ограничение по домену. Однако регнуть krevetk0@amazon.com никто не запрещал. Да, конечно надо еще верифицировать аккаунт через почту...
Но кто сказал что это обязательная процедура?!😉