Субботние полезности для вас.
Один хакерок CoffinXP, который держит сайт lostsec.xyz/, недавно выложил очень полезную идею о том, как просто и эффективно использовать сервис web.archive для хаккинга и багхантинга.
Советую глянуть и примерить на другие ваши идеи, которые могли бы стрелять в таком направлении 😉

https://web.archive.org/cdx/search/cdx?url=*.example.com/*&collapse=urlkey&output=text&fl=original

https://www.virustotal.com/vtapi/v2/domain/report?apikey=982680b1787fa59701919aa22515a025e00df1e3bb2bc4f186b8e919558d576c&domain=example.com

https://otx.alienvault.com/api/v1/indicators/hostname/domain.com/url_list?limit=500&page=1

curl -G "https://web.archive.org/cdx/search/cdx" \
--data-urlencode "url=*.example.com/*" \
--data-urlencode "collapse=urlkey" \
--data-urlencode "output=text" \
--data-urlencode "fl=original" > out.txt

cat out.txt | grep -E '\.xls|\.xml|\.xlsx|\.json|\.pdf|\.sql|\.doc|\.docx|\.pptx|\.txt|\.zip|\.tar\.gz|\.tgz|\.bak|\.7z|\.rar|\.log|\.cache|\.secret|\.db|\.backup|\.yml|\.yaml|\.md|\.md5|\.exe|\.dll|\.bin|\.ini|\.bat|\.sh|\.tar|\.deb|\.rpm|\.iso|\.img|\.apk|\.msi|\.dmg|\.tmp|\.crt|\.pem|\.key|\.pub|\.asc'

Один из исследователей Chrome VRP в последнее время закидывал всем хлопот с находками Type Confusion in V8.
И вот вы думаете почему тут могут быть хлопоты? Да потому что подобные уязвимости научились эксплуатировать вэберы. Последним громким примером такой находки был репорт Alex Chapman и Ben Sadeghipour(Nahamsec) в Meta, за который каждый получил по 50к$. Они нашли где живёт хром, и смогли напихать ему уже известным CVE эксплойтом.
Но не будем забывать что исследователь, который по сути находил эти проблемы, был тоже не обделен вниманием гугла и вознаграждениями. Ведь за один такой репорт ему удавалось получить 55k$ и CVE-2024-12692 в подарок.
Но не надо удивляться таким выплатам. Действительным удивлением становится тот факт, что все его находки были связаны со студенческим исследованием, в котором он использовал фазер. А деньги которые он заработал в ходе исследований, это на секундочку 462k$, он решил задонатить в PicoCTF.
Полная статья о Seunghyun Lee по ссылке.
Очень сильный поступок🦾

Нашел последнюю свежую презентацию с его исследований связанных с 0-day Chrome.
WebAssembly Is All You Need - Exploiting Chrome and the V8 Sandbox 10+ times with WASM.
Думаю кому-то из читателей канала это может быть очень интересно.
В идеале найти бы запись доклада, а то сами слайды хочется слушать с комментариями и объяснениями. Как-то очень все сложно. Но оно и понятно, простых багов в Chrome на 55k$ не бывает 💁‍♂️

Меня продолжают удивлять ситуации, когда доступ к конечной системе не входит в область действия программы, потому что адрес системы(url) отличается от того, что указан в скоупе программы. Этот конкретный пример был закрыт как Not Applicable. При том что это формальный Data breach одного крупного немецкого концерна 😏

Как это понимать вообще?!

Значит, для вас важен url вашего веб-сайта, а доступ к базе данных не важен, потому что адрес базы данных отличается и не прописан в скоупе? 🤦‍♂️

Понятно, что с точки зрения лигал/комплаенса в программу добавляют ограничения по принципу: что можно смотреть и трогать, а что нельзя.
Но создается впечатление, что комплаенс ставит свои приоритеты выше бизнеса. При этом кажется, что именно бизнес платит зарплату комплаенсу?!🤨

Как называется болезнь, когда ты становишься ведомым всякими рейтингами и циферками?

На картинке — висящая перед глазами “почётная” худи от Bugcrowd.
А чтобы получить эту кофту, надо сдать 50 успешных Critical репортов.
А чтобы их сдать, их надо ещё найти и пройти весь путь страданий, где твой репорт не занизят до High.
И всё ради худи 🙈
Как остановить это "хомячье колесо" багхантера?

Не долго музыка играла про взлом Volkswagen через доступный actuator и бережно оставленный токен.

Sam Curry врывается с ноги в 2025 год.
Сначала он купил маме Subaru Impreza 2023. А немного позднее продемонстрировал доступ к Subaru STARLINK Admin Portal, попутно проломив 2FA (такой же трюк у меня работал в системе поставок Dell). Это привело к невероятным возможностям по управлению удалёнными функциями и получению информации из внутренних систем.
Полный ресёрч по ссылке — https://samcurry.net/hacking-subaru
P.S.: Вот купил бы сразу нормальную WRX STI GD, и копаться в приложениях не пришлось бы 💁‍♂️

Невероятными усилиями дополз до 50 валидных P1 Reports на Bugcrowd! Теперь можно ожидать худи "P1 Warrior", которая будет у меня и еще у горстки сумасшедших ребят. Однако в моем случае все репорты были не через VDP без майнинга статистики. Т.е буквально через hard mode.

Честно говоря, далось это большой ценой — даже немного подвыгорел из-за решений в последних отчетах. Столько кринжа пришлось прочитать... Но об этом будет отдельный пост. Не переключайтесь 😉

Ребята из Министерства обороны США (U.S. Department of Defense) решили посмотреть, кто там лучше всех "пентагон ломал" в 2024. В итоге этим лучшим оказался Поросёнок из Ижевска.

По правде говоря, в 2024 году я просто собрал годные баги на случай, если в посольстве придется доказывать, почему я заслуживаю визу для поездки на HackerOne Event. Но я точно не планировал стать лучшим за год! 😂 Теперь есть жгучее желание насобирать в 2025 что-то интересное и снова оказаться в зале славы DoD.

Кто угадает героя в этот раз?
Как мне кажется, это единственный хакер из СНГ, получивший HackerOne MVH(Most Valuable Hacker) Belt!

Интересное чтиво о том как Lazarus обнесли Bybit на полтора миллиарда. При том что подобная цепочка проблем на багбаунти была бы оценена в 500$. Тот момент когда «300$, лучше б блэчил» свершилось 💁🏻‍♂️

https://x.com/s1r1u5_/status/1894841634061459745?s=46&t=CF0Vh-Z-vc7fuRxW3gUbMw

Много лет назад, когда я начинал свой путь в security, первой ступенькой в mobile security для меня стали доклады Дмитрия Лукьяненко. На тот момент он работал Android разработчиком и в свободное время занимался багхантингом.

Спустя столько лет я был очень рад встретиться с ним, поговорить о его пути, мотивации и результатах, которых он добился. Быть лучшим исследователем для многих крупных компаний — это заслуга, достойная огромного уважения!

Спасибо, что нашел время и поделился своим опытом!
Подписывайтесь на канал, ставьте лайки, оставляйте комментарии под выпуском 🫶

Результаты прошлого года продолжают меня догонять. В этот раз меня догнал очередной инвайт на Live Hacking Event в Сиэтле с полным покрытием поездки туда и обратно. И вроде бы круто — виза уже есть, просто садись и лети. Но с января я настолько замедлился в поиске уязвимостей, что пока просто не могу морально представить, как придется рубиться с другими ребятами за хорошие результаты в лидерборде на протяжении нескольких недель. Я начал заниматься немецким, а Apple Watch регулярно поздравляет как я достиг нормы сна.
Да и вообще, мои планы на начало апреля были явно другими — я точно не собирался променять Фреда Дёрста на гонку за багами 🤘

PS: Приятно понимать что я пришел к тому уровню о котором мечтал. Еще более приятно понимать что я могу скипнуть такой инвайт без сожаления.

Иногда можно долго читать пост о том как будет полезно поставить очередной аддон в браузер или в BurpSuite.
В этот раз я бы даже читать не стал, а сразу бы поставил. Нет сомнений что оно может случайно найти что-то крутое и полезное. В моем случае с браузерным аддоном такое случалось не раз и не два 💁‍♂️
PS: не забывайте поглядывать за съеденной памятью тачки в процессе работы 🥲