Justin Gardner так же выступил на DefCon32 с докладом-подборкой всяких классных и сложных багов, которые он находил за последнее время на различных LHE.
Что важно - он буквально серийный Live Hacking Event Hacker. И уже это вызывает уважение. Это правда не просто.
Мне после одного ивента хотелось полежать смотря в потолок недели две. Ну и performance после ивента у меня в бб буквально упал в ноль на какое-то время. А он умудряется не выгорать, не уставать, и продолжать херачить, и доствать интересные находки не только в web, network/router, hardware но и в IoT/SIP.
ROI с 11 раскрытых репортов получилось около 300к$. Но стоит помнить что в обычной жизни оно будет стоит дешевле. Просто на ивентах щедро насыпают бонусы.
Кстати если слушать внимательно, можно понять его подход к хакингу. Это тоже занимательно.
Что важно - он буквально серийный Live Hacking Event Hacker. И уже это вызывает уважение. Это правда не просто.
Мне после одного ивента хотелось полежать смотря в потолок недели две. Ну и performance после ивента у меня в бб буквально упал в ноль на какое-то время. А он умудряется не выгорать, не уставать, и продолжать херачить, и доствать интересные находки не только в web, network/router, hardware но и в IoT/SIP.
ROI с 11 раскрытых репортов получилось около 300к$. Но стоит помнить что в обычной жизни оно будет стоит дешевле. Просто на ивентах щедро насыпают бонусы.
Кстати если слушать внимательно, можно понять его подход к хакингу. Это тоже занимательно.
YouTube
DEF CON 32 - Top War Stories from a TryHard Bug Bounty Hunter -Justin Rhynorater Gardner
Ask any top bug bounty hunter: the best part of a live hacking event is the Show & Tell; the time when the veil is lifted and we collectively revel in the ingenuity of the best finds from the competition. The goal of this talk is to give you that same experience.…
🔥20
Интересный инвайт пришел на платформе. И что самое интересное - это только то что входит в скоуп. Им не интересны сложные вебовые баги или цепочки уязвимостей. Им важен только реальный шанс компроментации через утечки сорцов, данных, или скомпроментированных аккаунтов сотрудников.
(продолжение в следующем посте)
(продолжение в следующем посте)
😁8👍1
Мне кажется, что риск взлома компаний через скомпрометированные учетные записи в последнее время достиг очень высокого уровня. До задержания особо активных хакеров практически каждую неделю можно было читать о взломах очередной компании, чьи данные оказывались на форумах.
Когда эта тенденция только начинала набирать обороты, я помогал множеству компаний успеть стабилизировать свое шаткое положение с доступами к административным панелям, базам данных, системам разработки и даже системам управления поставками. Многие компании “открывали глаза” на реальность. Их команды начинали лучше понимать, почему были взломаны Rockstar, Slack и другие известные фирмы.
Но были и такие компании, которые хотели воспользоваться моментом и наказать исследователя за якобы опасные и дерзкие действия по “компрометации” систем, к которым они вообще-то не были готовы и не просили что-либо искать.
Все подобные компании заканчивали одинаково. Через год какой-нибудь блэчер продавал их данные на форуме. А в сообществе исследователей разгорался спор о том, насколько этично искать утекшие доступы — ведь это не настоящий bug bounty подход и не поиск уязвимостей. С этим в целом не поспоришь, ведь это не OWASP Top 10. Однако не стоит забывать, что большинство компаний участвуют в bug bounty, чтобы минимизировать бизнес-риски. Бизнесу не важно, насколько сложную цепочку уязвимостей нашел исследователь; важно решить проблему, которая может представлять высокий риск эксплуатации злоумышленником.
Если злоумышленник может получить доступ к системе управления поставками, остановить поставки и создать проблемы для вашей розничной сети, это вполне серьезная проблема, от которой глупо защищаться только с помощью policy на платформе.
Теперь же некоторые компании запускают программы bug bounty именно для того, чтобы сократить такой простой, но хитрый риск компрометации бизнеса. Кажется, что индустрия начинает понимать: глупо игнорировать то, что в конечном итоге может стать самой большой проблемой, по сравнению с хитроумными цепочками уязвимостей от CRLF до RCE.
Когда эта тенденция только начинала набирать обороты, я помогал множеству компаний успеть стабилизировать свое шаткое положение с доступами к административным панелям, базам данных, системам разработки и даже системам управления поставками. Многие компании “открывали глаза” на реальность. Их команды начинали лучше понимать, почему были взломаны Rockstar, Slack и другие известные фирмы.
Но были и такие компании, которые хотели воспользоваться моментом и наказать исследователя за якобы опасные и дерзкие действия по “компрометации” систем, к которым они вообще-то не были готовы и не просили что-либо искать.
Все подобные компании заканчивали одинаково. Через год какой-нибудь блэчер продавал их данные на форуме. А в сообществе исследователей разгорался спор о том, насколько этично искать утекшие доступы — ведь это не настоящий bug bounty подход и не поиск уязвимостей. С этим в целом не поспоришь, ведь это не OWASP Top 10. Однако не стоит забывать, что большинство компаний участвуют в bug bounty, чтобы минимизировать бизнес-риски. Бизнесу не важно, насколько сложную цепочку уязвимостей нашел исследователь; важно решить проблему, которая может представлять высокий риск эксплуатации злоумышленником.
Если злоумышленник может получить доступ к системе управления поставками, остановить поставки и создать проблемы для вашей розничной сети, это вполне серьезная проблема, от которой глупо защищаться только с помощью policy на платформе.
Теперь же некоторые компании запускают программы bug bounty именно для того, чтобы сократить такой простой, но хитрый риск компрометации бизнеса. Кажется, что индустрия начинает понимать: глупо игнорировать то, что в конечном итоге может стать самой большой проблемой, по сравнению с хитроумными цепочками уязвимостей от CRLF до RCE.
👍28❤3
Участие в таком мероприятии — это интересный опыт и отличная возможность для нетворкинга. Идеальный шанс встретиться с Tom Anthony!
P.S.: У меня все еще есть сомнения, почему простого парня из Ижевска пригласили на такой бизнесовый ивент 🙈
P.S.: У меня все еще есть сомнения, почему простого парня из Ижевска пригласили на такой бизнесовый ивент 🙈
🔥40👍28👏3❤2🤔1😱1👻1
Как прошли ваши выходные?
Кстати, это достаточно популярная проблема для многих компаний, когда продовые данные распиханы по всем средам для удобства разработки и тестирования. А потом, когда начинают патчить в проде, забывают сделать то же самое для dev/stg. Иногда есть среды, о которых узнают только после следующего репорта 🙈.
В итоге багхантер может сделать х2 на одной уязвимости 💁♂️
Подобный случай — отличный повод для давления на разработчиков с целью анонимизации данных на тестовых средах. Ведь даже если вы не успели зафиксить проблему в test/stg, уязвимость для вас будет стоить дешевле.
Кстати, это достаточно популярная проблема для многих компаний, когда продовые данные распиханы по всем средам для удобства разработки и тестирования. А потом, когда начинают патчить в проде, забывают сделать то же самое для dev/stg. Иногда есть среды, о которых узнают только после следующего репорта 🙈.
В итоге багхантер может сделать х2 на одной уязвимости 💁♂️
Подобный случай — отличный повод для давления на разработчиков с целью анонимизации данных на тестовых средах. Ведь даже если вы не успели зафиксить проблему в test/stg, уязвимость для вас будет стоить дешевле.
🔥8👍3
Гугл запускает новую волну clickjacking хакеров.
Я то конечно понимаю, что рисёрчер вроде как не с нулевой репутацией, и действительно догадывался о каких-то цепочках. Но те кто прочитает его твит, пойдут с большим усилием запихивать кликджекинг алерты с бесплатных онлайн сервисов, тупо думая что нашли кнопку «бабло» 🤦🏻♂️
Я то конечно понимаю, что рисёрчер вроде как не с нулевой репутацией, и действительно догадывался о каких-то цепочках. Но те кто прочитает его твит, пойдут с большим усилием запихивать кликджекинг алерты с бесплатных онлайн сервисов, тупо думая что нашли кнопку «бабло» 🤦🏻♂️
😁15❤1
По следам последнего поста можно выйти на очень крутой доклад от Lyra Rebane.
Причем сама история публиковалась ранее тут. Но автор собрал очень круту презу для Bsides Tallinn, и я гарантирую что вы потратите 30 минут не зря послушав его повествование, и то как находил эти цепочки уязвимостей. Тот случай когда буквально можно понаблюдать за ходом мысли.
Причем сама история публиковалась ранее тут. Но автор собрал очень круту презу для Bsides Tallinn, и я гарантирую что вы потратите 30 минут не зря послушав его повествование, и то как находил эти цепочки уязвимостей. Тот случай когда буквально можно понаблюдать за ходом мысли.
👍24🔥5❤4
Вчера внезапно получаю такое письмо и моментально теряю навык сна. Всё потому, что я понятия не имею, о какой компании идет речь. Не знаю, какой именно у них случился инцидент, но точно понимаю, что это мой IP-адрес, который они нашли в логах аж с февраля! Я уже начал представлять, как буду составлять алиби и объяснять, что, вообще-то, ничего не делал и катался на сноуборде в это время 🤣
Но потом резко вспомнил, что занимался ресерчем в начале года. Много сканил. И, вероятнее всего, нашел их уязвимый сервис, но даже не знал, что у ребят есть bug bounty. Так баг и пролежал почти год, пока кто-то другой не зарепортил его. Но повезло, что это инцидент в формате bug bounty, а не в формате data breach 🙊
Но потом резко вспомнил, что занимался ресерчем в начале года. Много сканил. И, вероятнее всего, нашел их уязвимый сервис, но даже не знал, что у ребят есть bug bounty. Так баг и пролежал почти год, пока кто-то другой не зарепортил его. Но повезло, что это инцидент в формате bug bounty, а не в формате data breach 🙊
🔥23😱11👍3😁1
Человек может уехать из Ижевска, но Ижевск из человека — никогда.
Каждый раз, когда покупаю что-то “недоступное”, испытываю внутренний восторг. Новые кроссовки, на которые я мог копить три стипендии, — кайф. Билет на концерт группы, которую видел только по MTV или A-One, — да это вообще сравнимо с полётом в космос. Вознаграждение в XX.XXX$ от крупной компании — дяденьки, а вы точно нулями не ошиблись? 🙊
Интересно, это у меня одного такой imposter syndrome? 🤨
Каждый раз, когда покупаю что-то “недоступное”, испытываю внутренний восторг. Новые кроссовки, на которые я мог копить три стипендии, — кайф. Билет на концерт группы, которую видел только по MTV или A-One, — да это вообще сравнимо с полётом в космос. Вознаграждение в XX.XXX$ от крупной компании — дяденьки, а вы точно нулями не ошиблись? 🙊
Интересно, это у меня одного такой imposter syndrome? 🤨
👍26🔥9❤7😢1
В годы моего детства был дефицит, и понимание материальных ценностей формировалось без усилий. Надо тебе в интернете зайти по Dial-Up на 30 минут — откладываешь неделю деньги с обедов.
Ценность многих вещей была очень понятной и очевидной.
И вот теперь новому поколению надо как-то эту ценность вложить. Решили начать с простого — с PS5 🙈. Старательно откладывая монетки и реварды за успешно сданные экзамены, удалось скопить на полноценную плойку. И это в 7 лет! Теперь надо какую-то следующую цель поставить. Есть идеи?
Ценность многих вещей была очень понятной и очевидной.
И вот теперь новому поколению надо как-то эту ценность вложить. Решили начать с простого — с PS5 🙈. Старательно откладывая монетки и реварды за успешно сданные экзамены, удалось скопить на полноценную плойку. И это в 7 лет! Теперь надо какую-то следующую цель поставить. Есть идеи?
🔥33👍15🥰6😁3❤2
Ну и не будем забывать, ради чего все мы тут собрались. Полезный пост о том, как можно эксплуатировать SSRF. Целиком пост можно найти здесь. Причём автор регулярно раскрывает всякие приёмчики.
В этот раз ему удалось выцепить SSRF в URL — обычное дело. Но дальше он пнул AWS Lambda Function через:
И уже через неё, используя github.com/assetnote/surf, он выцепил какой-то очень внутренний Swagger с возможностью выполнять неавторизованные запросы. В итоге из URL SSRF привёл к неавторизованному чтению PII из внутреннего сервиса.
Лично я не считаю подобное постэксплуатацией, так как команда компании подобный риск вряд ли найдёт (или просто не захочет признать это).
В следующий раз, когда ваш разработчик будет рассказывать, что для внутренних сервисов ему лень прикручивать авторизацию, просто скиньте ему этот твит, объясняющий шаги эксплуатации. Никакого rocket science.
В этот раз ему удалось выцепить SSRF в URL — обычное дело. Но дальше он пнул AWS Lambda Function через:
http://localhost:9001/2018-06-01/runtime/invocation/next
И уже через неё, используя github.com/assetnote/surf, он выцепил какой-то очень внутренний Swagger с возможностью выполнять неавторизованные запросы. В итоге из URL SSRF привёл к неавторизованному чтению PII из внутреннего сервиса.
Лично я не считаю подобное постэксплуатацией, так как команда компании подобный риск вряд ли найдёт (или просто не захочет признать это).
В следующий раз, когда ваш разработчик будет рассказывать, что для внутренних сервисов ему лень прикручивать авторизацию, просто скиньте ему этот твит, объясняющий шаги эксплуатации. Никакого rocket science.
GitHub
GitHub - assetnote/surf: Escalate your SSRF vulnerabilities on Modern Cloud Environments. `surf` allows you to filter a list of…
Escalate your SSRF vulnerabilities on Modern Cloud Environments. `surf` allows you to filter a list of hosts, returning a list of viable SSRF candidates. - assetnote/surf
👍15🤔2
В этот раз придётся начать "пятничный конкурс" немного раньше. Причина проста — кроссовок на всех нас может не хватить 😁
Стоит признать, что схема весьма красивая и сложно распознаваемая обычным обывателем. Ну и кому не нужны New Balance 530?!
Давайте поднажмём, поможем ребятам распродать склад и поддержим их сервис мгновенной доставки 😁
Сайт кросовок.
Сайт доставки.
Правила остались прежними. Победитель получивший рута - получает пиццу 🥳
PS: Кстати, домены у ребят весьма интересные. Особенно сильно мне нравится 3ий в списке.
Стоит признать, что схема весьма красивая и сложно распознаваемая обычным обывателем. Ну и кому не нужны New Balance 530?!
Давайте поднажмём, поможем ребятам распродать склад и поддержим их сервис мгновенной доставки 😁
Сайт кросовок.
Сайт доставки.
Правила остались прежними. Победитель получивший рута - получает пиццу 🥳
PS: Кстати, домены у ребят весьма интересные. Особенно сильно мне нравится 3ий в списке.
🔥13😁3👍1
Мне тут Августина подкинула интересный “умный фазер” от ребят из всем известного сканера Акунетикс.
Господа зацепили LLM-модели (через Ollama) и ffuf вместе. И, кажется, получился очень хороший контекстно-зависимый фазер. Идея не нова, и подключать какой-то LLM к фазеру/сканеру теперь кажется логичной идеей. Правда, есть одно “но”: меня в подобных ситуациях всегда терзает сомнение — а не пропустил ли он что-то важное, что я бы точно нашёл сам, не пытаясь играть в “оптимизацию” и эффективность.
Но, возможно, я просто старовер. Короче, пользуйтесь: https://github.com/Invicti-Security/brainstorm
Господа зацепили LLM-модели (через Ollama) и ffuf вместе. И, кажется, получился очень хороший контекстно-зависимый фазер. Идея не нова, и подключать какой-то LLM к фазеру/сканеру теперь кажется логичной идеей. Правда, есть одно “но”: меня в подобных ситуациях всегда терзает сомнение — а не пропустил ли он что-то важное, что я бы точно нашёл сам, не пытаясь играть в “оптимизацию” и эффективность.
Но, возможно, я просто старовер. Короче, пользуйтесь: https://github.com/Invicti-Security/brainstorm
GitHub
GitHub - Invicti-Security/brainstorm: A smarter web fuzzing tool that combines local LLM models and ffuf to optimize directory…
A smarter web fuzzing tool that combines local LLM models and ffuf to optimize directory and file discovery - Invicti-Security/brainstorm
🔥22👍9❤1🙏1