В bug bounty программе TikTok завелся старательный исследователь. Он не был приглашен на последний event от Hackerone (немного слов о справедливости распределения инвайтов). И даже после ивента где выгребли 1M$, он продолжает выгребать уязвимости.
Сейчас он опубликовал весьма стремную историю. И в целом из-за этой истории, американцы могут дальше продолжить топить приложение в легальном поле. Парниша конечно зря такое написал, и вероятно скоро даже удалит этот пост. Но интернет все помнит 😉
А TikTok ничего не удаляет 💁🏻♂️
Сейчас он опубликовал весьма стремную историю. И в целом из-за этой истории, американцы могут дальше продолжить топить приложение в легальном поле. Парниша конечно зря такое написал, и вероятно скоро даже удалит этот пост. Но интернет все помнит 😉
А TikTok ничего не удаляет 💁🏻♂️
👻12❤5👍2🤔1
В этом году я буквально катался на роликах раза три. И особо не стремился к хорошим результатам. Было желание доехать и не стереть ноги в кровь. Сюрприз добавили организаторы. Они поменяли привычный маршрут по городу на замкнутый маршрут с участком, где нужно было ехать 5 кругов, каждый по 7,5 км, и половину из этого расстояния приходилось ехать против стабильного сильного ветра. На втором круге я даже задумался, что не осилю, но сообразил, что мужчины, которые весят больше и шире в плечах, могут рассекать ветер передо мной.
За месяц до марафона я вернулся к привычной новой моделе FR Skates. Ехать было супер удобно и комфортно.
Если вы уверенный inline skater, то советую задуматься о следующем марафоне в 2025 😉
За месяц до марафона я вернулся к привычной новой моделе FR Skates. Ехать было супер удобно и комфортно.
Если вы уверенный inline skater, то советую задуматься о следующем марафоне в 2025 😉
👍20🔥14❤10
В HackerOne Leaderboard с недавних пор появилось разделение по технологиям. Теперь можно посмотреть, кто лучший веб-хакер, кто лучший специалист по мобильным приложениям. Но что более интересно — можно увидеть, кто лучший AI-хакер.
Правда, после этого можно узнать, в каких программах участвуют эти исследователи, и сделать соответствующие выводы о надежности того или иного AI-решения 🙈.
Однако, пока за год статистика не слишком впечатляющая, и в общей массе уязвимостей за год сдано довольно мало.
PS: Нашел пару знакомых ребят в списке. Попробую узнать и рассказать что же там за AI баги такие находят 😉
Правда, после этого можно узнать, в каких программах участвуют эти исследователи, и сделать соответствующие выводы о надежности того или иного AI-решения 🙈.
Однако, пока за год статистика не слишком впечатляющая, и в общей массе уязвимостей за год сдано довольно мало.
PS: Нашел пару знакомых ребят в списке. Попробую узнать и рассказать что же там за AI баги такие находят 😉
🤔10🔥4👍2❤1😢1
Выглядело это всё дело как уверенный пятизнак🤑
Но посмотрим что будет в итоге. Ведь первое правило в bug bounty - ноль ожиданий!
Ребят из Amazon и так на днях потратили 2M$ на HackerOne Live Event. И думаю могли быть не готовы к таким интересным поворотам судьбы.
Полезный лайфхак. Сервис явно напрашивался на кавычку. Но вот беда - был нужен юзер, под которым можно кавычку вставить. Зарегать своего юзера не позволяло ограничение по домену. Однако регнуть krevetk0@amazon.com никто не запрещал. Да, конечно надо еще верифицировать аккаунт через почту...
Но кто сказал что это обязательная процедура?!😉
Но посмотрим что будет в итоге. Ведь первое правило в bug bounty - ноль ожиданий!
Ребят из Amazon и так на днях потратили 2M$ на HackerOne Live Event. И думаю могли быть не готовы к таким интересным поворотам судьбы.
Полезный лайфхак. Сервис явно напрашивался на кавычку. Но вот беда - был нужен юзер, под которым можно кавычку вставить. Зарегать своего юзера не позволяло ограничение по домену. Однако регнуть krevetk0@amazon.com никто не запрещал. Да, конечно надо еще верифицировать аккаунт через почту...
Но кто сказал что это обязательная процедура?!😉
🔥24😁9👍5
🔥У нас тут необычный пятничный конкурс нарисовался 🔥
Одна маленькая девочка пыталась закупить рекламу в канале для банка. Ну и она, видимо, не знала, что это за канал такой. Да и скорее всего, это была не девочка 😁
В итоге у нас появился CTF, где флагом будет root на сервере 🥷
А призом будет вполне реальная вкусная пицца с доставкой !!!
Полагаю, что после старта конкурса времени будет немного, но на то это и CTF.
Одна маленькая девочка пыталась закупить рекламу в канале для банка. Ну и она, видимо, не знала, что это за канал такой. Да и скорее всего, это была не девочка 😁
В итоге у нас появился CTF, где флагом будет root на сервере 🥷
А призом будет вполне реальная вкусная пицца с доставкой !!!
Полагаю, что после старта конкурса времени будет немного, но на то это и CTF.
185.239.50.190
Domain: TGSTAT.RU.COM
Registered: 20th September 2024
https://xn--r1a.website/blacktgbot_bot
https://tgstat.ru.com/durov.html
https://tgstat.ru.com/auth/oauth/telegram/auth.php?ref=durov
😁37👍13🔥8❤1
Пицца достигла стола победителя, который своим усердием помог достать контакты жертв!
Жертвы, в свою очередь, были уведомлены о необходимости сброса сессий.
Сам скам был нацелен на владельцев различных каналов, предлагая покупку рекламы под видом крупного бренда(ТБанк,МТС). Из-за того, что бренды обычно покупают рекламу через агентства, бывает невозможно провести проверку через рабочую почту.
P.S. По счастливой случайности база перестала работать 😁
Виной тому — работа от root 💁🏻♂️
Спасибо всем кто не остался равнодушным к этой истории 🫶🏻
Жертвы, в свою очередь, были уведомлены о необходимости сброса сессий.
Сам скам был нацелен на владельцев различных каналов, предлагая покупку рекламы под видом крупного бренда(ТБанк,МТС). Из-за того, что бренды обычно покупают рекламу через агентства, бывает невозможно провести проверку через рабочую почту.
P.S. По счастливой случайности база перестала работать 😁
Виной тому — работа от root 💁🏻♂️
Спасибо всем кто не остался равнодушным к этой истории 🫶🏻
❤57🔥22👍7
У индийцев произошел слив данных от крупной страховой компании Star Health. Но самое удивительное в этой ситуации — то, что главный специалист по информационной безопасности (CISO) этой компании решил заработать на стороне и продал доступы к данным хакерам. Т.е он буквально за деньги выдал хакерам доступы к API через proton mail.
Сначала CISO продал хакерам данные более 31 миллиона клиентов, включая информацию о зарплатах и налоговых номерах (PAN). Позже он предложил им доступ к данным страховых выплат за дополнительные деньги. Когда хакеры получили 5 ТБ данных, доступ был заблокирован, и CISO потребовал еще больше — заявив, что теперь нужно поделиться с руководством 😁
По итогу хакеркам не понравились такие расклады, и они потребовали возврат денег, которые уже оплатили индийцу. Индиец само собой ушел в несознанку. А хакеры из xenZen решили слить все пруфы этой истории. Читать эту историю просто потрясно. А смотреть qTox чат просто заглядение.
Сначала CISO продал хакерам данные более 31 миллиона клиентов, включая информацию о зарплатах и налоговых номерах (PAN). Позже он предложил им доступ к данным страховых выплат за дополнительные деньги. Когда хакеры получили 5 ТБ данных, доступ был заблокирован, и CISO потребовал еще больше — заявив, что теперь нужно поделиться с руководством 😁
По итогу хакеркам не понравились такие расклады, и они потребовали возврат денег, которые уже оплатили индийцу. Индиец само собой ушел в несознанку. А хакеры из xenZen решили слить все пруфы этой истории. Читать эту историю просто потрясно. А смотреть qTox чат просто заглядение.
😁36🔥1
Исследователь нашёл весьма интересный баг в Zendesk. Сочетание TicketTrick с Email Spoofing позволяло добавлять себя в любые запросы от имени сотрудника компании, что открывало доступ ко всем деталям запросов в поддержку через Zendesk.
Однако упоминание о проблемах с DKIM и SPF сыграло с исследователем злую шутку. Контора решила что это и не баг вовсе. Хотя он весьма серьезный пример эскалации нарисовал. Ну и как я понял он еще у клиентов Zendesk немного денег собрал(там где есть bug bounty) благодаря такому багу by design. После чего zendesk был вынужден запатчить проблему на корню.
Вообще, все эти SaaS-решения и сторонние сервисы — это уникальное пространство, где можно найти одну уязвимость и затем эксплуатировать её у множества компаний. И главное, чтобы вендор придерживался позиции, что все его клиенты "должны быть в курсе" настроек безопасности и сами исправлять проблемы. Идеальо если это был письменный ответ. Это развязывает руки и позволяет “майнить” куда больше, чем этот исследователь.
Мне так удалось намайнить шестизнак... Но об этом как нибудь потом 😉
The bug itself was surprisingly simple. Zendesk had no effective protection against email spoofing, and this oversight made it possible to exploit their email collaboration feature to gain access to others’ tickets.
Однако упоминание о проблемах с DKIM и SPF сыграло с исследователем злую шутку. Контора решила что это и не баг вовсе. Хотя он весьма серьезный пример эскалации нарисовал. Ну и как я понял он еще у клиентов Zendesk немного денег собрал(там где есть bug bounty) благодаря такому багу by design. После чего zendesk был вынужден запатчить проблему на корню.
Вообще, все эти SaaS-решения и сторонние сервисы — это уникальное пространство, где можно найти одну уязвимость и затем эксплуатировать её у множества компаний. И главное, чтобы вендор придерживался позиции, что все его клиенты "должны быть в курсе" настроек безопасности и сами исправлять проблемы. Идеальо если это был письменный ответ. Это развязывает руки и позволяет “майнить” куда больше, чем этот исследователь.
Мне так удалось намайнить шестизнак... Но об этом как нибудь потом 😉
Gist
1 bug, $50,000+ in bounties, how Zendesk intentionally left a backdoor in hundreds of Fortune 500 companies
1 bug, $50,000+ in bounties, how Zendesk intentionally left a backdoor in hundreds of Fortune 500 companies - zendesk.md
🔥19🤯1
В последнее время попадаются ситуации когда есть XXE, но максимум что можно прочитать, это etc/hostname.
И вот в выходные предоставилась возможность потыкать очередную XXE. С первого взгляда работало только etc/hostname.
Но сервис был слишком интересный с точки зрения bug bounty. И я пошел собирать любые сведения о системе.
Почти всё из этого не работало, но, возможно, пригодится в будущем.
Определяем тип системы
Но дальше случилось удивительное.
Hostname вернул имя, и из-за него я решил что это какой-то микросервис на поде и попробовал выцепить следующее
Полученный случайно Kubernetes service account token, который мне вернулся по первой команде, позволял долбиться в Kubernetes API. По идее, для bug bounty это уже достаточно, чтоб отправить репорт. Но пока репорт рассматривается, попробую найти имя kubernetes api server, к которому, собственно полученный jwt токен и подойдет.
И вот в выходные предоставилась возможность потыкать очередную XXE. С первого взгляда работало только etc/hostname.
Но сервис был слишком интересный с точки зрения bug bounty. И я пошел собирать любые сведения о системе.
Почти всё из этого не работало, но, возможно, пригодится в будущем.
/proc/self/environ
/proc/X/environ (X от 1 до 10000)
/proc/self/cmdline
/etc/environment
Определяем тип системы
/sys/class/dmi/id/product_name
/sys/class/dmi/id/sys_vendor
/proc/net/arp
/etc/fstab
/etc/mtab
/etc/os-release
/etc/apt/sources.list.d
/etc/logrotate.conf
/etc/logrotate.d
/etc/php5/apache2/php.ini
/etc/group
/etc/hosts
/etc/issue
/etc/passwd
/etc/resolv.conf
/etc/shells
/proc/cmdline
Но дальше случилось удивительное.
Hostname вернул имя, и из-за него я решил что это какой-то микросервис на поде и попробовал выцепить следующее
/var/run/secrets/kubernetes.io/serviceaccount/token
/var/lib/docker/containers/
/etc/docker/
/etc/kubernetes/
/var/log/syslog
/etc/kubernetes/kubelet.conf
/var/lib/kubelet/config.yaml
/etc/kubernetes/admin.conf
/root/.kube/config
/var/run/secrets/kubernetes.io/serviceaccount/ca.crt
/var/run/secrets/kubernetes.io/serviceaccount/namespace
/root/.docker/config.json
Полученный случайно Kubernetes service account token, который мне вернулся по первой команде, позволял долбиться в Kubernetes API. По идее, для bug bounty это уже достаточно, чтоб отправить репорт. Но пока репорт рассматривается, попробую найти имя kubernetes api server, к которому, собственно полученный jwt токен и подойдет.
❤30🔥19👍8💔4🤔1
Jhaddix пошарил сокращенный формат своего AI тренинга на OWASP AppSec San Francisco. Дед продолжает поставлять годный контент, за что ему спасибо.
PS: Думаю теперь сходить на полноценный тренинг. Вот только дождусь когда за XXE заплатят 😁
https://youtu.be/XHeTn7uWVQM?si=98WOlJQN1qxv_lGI
PS: Думаю теперь сходить на полноценный тренинг. Вот только дождусь когда за XXE заплатят 😁
https://youtu.be/XHeTn7uWVQM?si=98WOlJQN1qxv_lGI
YouTube
Keynote: Red, Blue, and Purple AI - Jason Haddix
https://owasp2024globalappsecsanfra.sched.com/event/1g3UA/red-blue-and-purple-ai-keynote
"Red, blue, and purple AI" reverse-engineers the cybersecurity responsibilities of practitioners and modern security programs. It aims to augment these practitioners…
"Red, blue, and purple AI" reverse-engineers the cybersecurity responsibilities of practitioners and modern security programs. It aims to augment these practitioners…
🔥17
Media is too big
VIEW IN TELEGRAM
Исследователь Daniel Blaklis Le Gall собрал небольшой доклад для DefCon Bug Bounty Village, на котором показал различные интересные находки.
За долгие годы охоты, он насобирал 2М$ ревардов по всем платформам. И только лишь на HackerOne в прошлом месяце он пробил потолок общих выплат в 1М$. Деньги тут как показатель упорного труда. Парень знает где и что искать. Причем на h1 у него всего 176 репортов. Где можно увидеть выплаты и по 200$ и по 75k$🤑
Никакого сканинга, никакой автоматизации. Просто глубокое и уверенное изучение целей и приложений. Доклад полон интересных технических багов разной сложности. Eсть и тупые баги, где байпас авторизации был через кнопку отмены самой авторизации(что-то похожее недавно публиковал несколькими постами выше у amazon). Очень рекомендую выделить время и посмотреть доклад всем интересующимся😉
За долгие годы охоты, он насобирал 2М$ ревардов по всем платформам. И только лишь на HackerOne в прошлом месяце он пробил потолок общих выплат в 1М$. Деньги тут как показатель упорного труда. Парень знает где и что искать. Причем на h1 у него всего 176 репортов. Где можно увидеть выплаты и по 200$ и по 75k$🤑
Никакого сканинга, никакой автоматизации. Просто глубокое и уверенное изучение целей и приложений. Доклад полон интересных технических багов разной сложности. Eсть и тупые баги, где байпас авторизации был через кнопку отмены самой авторизации(что-то похожее недавно публиковал несколькими постами выше у amazon). Очень рекомендую выделить время и посмотреть доклад всем интересующимся😉
🔥32❤2👍1
Justin Gardner так же выступил на DefCon32 с докладом-подборкой всяких классных и сложных багов, которые он находил за последнее время на различных LHE.
Что важно - он буквально серийный Live Hacking Event Hacker. И уже это вызывает уважение. Это правда не просто.
Мне после одного ивента хотелось полежать смотря в потолок недели две. Ну и performance после ивента у меня в бб буквально упал в ноль на какое-то время. А он умудряется не выгорать, не уставать, и продолжать херачить, и доствать интересные находки не только в web, network/router, hardware но и в IoT/SIP.
ROI с 11 раскрытых репортов получилось около 300к$. Но стоит помнить что в обычной жизни оно будет стоит дешевле. Просто на ивентах щедро насыпают бонусы.
Кстати если слушать внимательно, можно понять его подход к хакингу. Это тоже занимательно.
Что важно - он буквально серийный Live Hacking Event Hacker. И уже это вызывает уважение. Это правда не просто.
Мне после одного ивента хотелось полежать смотря в потолок недели две. Ну и performance после ивента у меня в бб буквально упал в ноль на какое-то время. А он умудряется не выгорать, не уставать, и продолжать херачить, и доствать интересные находки не только в web, network/router, hardware но и в IoT/SIP.
ROI с 11 раскрытых репортов получилось около 300к$. Но стоит помнить что в обычной жизни оно будет стоит дешевле. Просто на ивентах щедро насыпают бонусы.
Кстати если слушать внимательно, можно понять его подход к хакингу. Это тоже занимательно.
YouTube
DEF CON 32 - Top War Stories from a TryHard Bug Bounty Hunter -Justin Rhynorater Gardner
Ask any top bug bounty hunter: the best part of a live hacking event is the Show & Tell; the time when the veil is lifted and we collectively revel in the ingenuity of the best finds from the competition. The goal of this talk is to give you that same experience.…
🔥20
Интересный инвайт пришел на платформе. И что самое интересное - это только то что входит в скоуп. Им не интересны сложные вебовые баги или цепочки уязвимостей. Им важен только реальный шанс компроментации через утечки сорцов, данных, или скомпроментированных аккаунтов сотрудников.
(продолжение в следующем посте)
(продолжение в следующем посте)
😁8👍1