Ребята из @bizone_bb раскрыли две уязвимости на их платформе. Респект им и @guleroman за находки.
https://bugbounty.bi.zone/reports/5647
https://bugbounty.bi.zone/reports/5646
#web #idor #ato
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥26👍9
Подвезли расширение для поиска утечек данных в WebSocket-сообщениях. Автоматически находит ключи API, токены и другие секреты.
Ссылка на GitHub
#web #tools #leak
Please open Telegram to view this post
VIEW IN TELEGRAM
👍26🔥7🤯1😢1
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥35😁35🤯6😢1
По результатам 2024 года вошел в топ-3 на @bizone_bb. Сдавал, да и в целом багхантил, достаточно мало, что видно по количеству отчетов. Но если садился, то старался сдавать в основном баги с высокой критичностью, что видно по грейду и рейтингу. Ниже немного статистики.
Принято - 50
Дубликатов - 29 (большая часть high/critical)
Из принятых:
Critical - 14
High - 11
Medium - 19
Low - 6
Результат мог быть и лучше, если бы я тратил больше свободного времени на багхантинг, но, в целом, и так не плохо. Отдельное спасибо ребятам за всякие ивенты, подарки и прочие ништяки, это всегда круто.
Принято - 50
Дубликатов - 29 (большая часть high/critical)
Из принятых:
Critical - 14
High - 11
Medium - 19
Low - 6
Результат мог быть и лучше, если бы я тратил больше свободного времени на багхантинг, но, в целом, и так не плохо. Отдельное спасибо ребятам за всякие ивенты, подарки и прочие ништяки, это всегда круто.
110🔥64👍16🎄1
История о нахождении и раскрутке RCE в публичной багбаунти программе.
Ссылка на статью
#web #rce #recon
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegraph
Путь от ограниченного Path Traversal к RCE с вознаграждением в $40,000
Описание Во время разведки и сканирования портов на нашей любимой цели мы обнаружили поддомен с портом 8443 — http://admin.target.com:8443. Ответ был 404, и, к сожалению, большинство исследователей игнорируют такие поддомены, но не я! Используя fuzzing для…
🔥44👍14
Forwarded from BI.ZONE Bug Bounty
А вы знаете, что у нашего комьюнити есть чат, в котором общаются исследователи и команда платформы? Там уже больше 250 человек, не хватает только вас!
Залетайте в чат, чтобы:
Присоединяйтесь, будем вместе прокачиваться в работе с уязвимостями ;)
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍10🔥6😢4
Forwarded from Пентестер на мотоцикле
common_security_issues_in_financially-orientated.pdf.pdf
8.6 MB
На практике часто приходится сталкиваться с тестированием платёжных систем. Данная методичка поможет пентестерам проводить более тщательный анализ безопасности таких систем. На проекте также воспользовался данным материалом.
▎Краткое содержание:
Документ переведён на русский язык, но оригинал на английском также сохранён. Когда встретится кривой перевод, всегда можно свериться с оригинальным текстом страницей выше.
Сохраняйте себе, чтобы не потерять!
#материал
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥27👍10😁2
Раскрыли подробности
CVE-2024-33452. При обработке HTTP/1.1-запросов lua-nginx-module некорректно разбирает HEAD-запросы с телом, воспринимая тело запроса как новый отдельный запрос.Пример
Обычно прокси-серверы интерпретируют следующий HTTP-запрос как единый, поскольку GET
/smuggle находится в теле HEAD-запроса:HEAD / HTTP/1.1
Host: localhost
Content-Length: 52
GET /smuggle HTTP/1.1
Host: localhost
Однако lua-nginx-module интерпретирует его как два отдельных запроса, что приводит к рассинхронизации прокси-серверов в цепочке.
Сценарии атак
Прокси-серверы, использующие lua-nginx-module, уязвимы к этой атаке (например, Kong Gateway, Apache APISIX и другие).
Пример с Kong Gateway
Если Kong работает самостоятельно, уязвимость не представляет особой опасности. Но если Kong используется в связке с фронт-прокси (например, Nginx, Cloudflare и т. д.), злоумышленник может:
1. Внедрять вредоносные ответы (например, XSS-атаки).
2. Обходить защиту фронт-прокси (например, обход Cloudflare).
3. Перехватывать ответы других пользователей.
Этот сценарий позволяет заставить всех пользователей загрузить вредоносный ответ с XSS-кодом, даже если сайт использует обычную страницу Apache.
HEAD / HTTP/1.1
Host: localhost
Content-Length: 122
HEAD /app HTTP/1.1
Host: localhost
Connection: keep-alive
GET /app/assets?<script>alert(origin)</script> HTTP/1.1
X:
Результат: Все пользователи, отправляющие обычные запросы, получат XSS-скрипт в ответе.
Допустим, Cloudflare блокирует доступ к
/admin. Злоумышленник может скрыть GET-запрос к /admin внутри HEAD-запроса и обойти защиту.Пример:
HEAD / HTTP/1.1
Host: victim.com
Content-Length: 40
GET /admin HTTP/1.1
Host: victim.com
Результат: Cloudflare не увидит GET-запрос, и злоумышленник сможет обойти защиту.
Этот метод позволяет рассинхронизировать очередь ответов на сервере и захватить ответы других пользователей.
Пример атаки
1. Атакующий отправляет HEAD-запрос с внедрённым GET-запросом.
2. Сервер ошибочно интерпретирует тело как отдельный запрос.
3. Ответ попадает не атакующему, а следующему пользователю, а атакующий может забрать ответ жертвы.
Подробности
Более подробное описание читайте в блоге по ссылке.
#web #hrs #xss
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥24👍6
Forwarded from BlackFan
Изучая документацию jadx наткнулся на упоминание, что его можно подключить как библиотеку в свое Java приложение. И эта идея настолько понравилась, что в итоге вылилась в небольшой комбайн, который удобно использовать для первоначальной обработки JAR/WAR/APK приложений при анализе защищенности.
https://github.com/BlackFan/BFScan
BFScan анализирует строковые константы в Java-классах и ресурсах приложения для поиска строк, похожих на URL, пути или захардкоженные секреты.
А также формирует сырые HTTP запросы и OpenAPI спецификацию на основе конфигов, аннотаций методов и классов. При этом поддерживаются как клиентские библиотеки (например, Retrofit), используемые в APK для взаимодействия с бэкендом, так и серверные технологии, такие как Spring-аннотации. Что значительно облегчает тестирование API, когда тело HTTP запроса необходимо сформировать из десятка вложенных классов.
Рассмотрим пример работы утилиты с классом, использующим Spring-аннотации.
В случае, если обрабатываемое приложение использует поддерживаемую библиотеку, утилита сгенерирует файл, содержащий все HTTP запросы, поддерживаемые приложением.
Приложение удобно использовать как для клиентских приложений, когда вы анализируете API мобильного приложения. Так и в случае, если вы получили скомпилированный JAR/WAR от серверного приложения, для поиска в нем захардкоженных секретов или дальнейшего анализа API эндпоинтов, которое оно обрабатывает.
Если приложение обфусцировано, что часто бывает с APK, утилита проанализирует все аннотации и, если они похожи на типичное объявление API эндпоинтов, построит HTTP запросы на основе них. В случае, если данная функциональность сработала неправильно, используя jadx вы можно легко сформировать mapping-файлы для переименования обфусцированных классов и корректного формирования HTTP-запросов.
https://github.com/BlackFan/BFScan
BFScan анализирует строковые константы в Java-классах и ресурсах приложения для поиска строк, похожих на URL, пути или захардкоженные секреты.
А также формирует сырые HTTP запросы и OpenAPI спецификацию на основе конфигов, аннотаций методов и классов. При этом поддерживаются как клиентские библиотеки (например, Retrofit), используемые в APK для взаимодействия с бэкендом, так и серверные технологии, такие как Spring-аннотации. Что значительно облегчает тестирование API, когда тело HTTP запроса необходимо сформировать из десятка вложенных классов.
Рассмотрим пример работы утилиты с классом, использующим Spring-аннотации.
@RestController
@RequestMapping("/api")
public class UserController {
@PostMapping("createUser")
public String create(@RequestParam Optional<String> someParamName, @RequestBody User user) {
return "response";
}
В случае, если обрабатываемое приложение использует поддерживаемую библиотеку, утилита сгенерирует файл, содержащий все HTTP запросы, поддерживаемые приложением.
POST /api/createUser?someParamName=value HTTP/1.1
Host: localhost
Connection: close
Content-Type: application/json
{
"name": "name",
"age": 1
}
Приложение удобно использовать как для клиентских приложений, когда вы анализируете API мобильного приложения. Так и в случае, если вы получили скомпилированный JAR/WAR от серверного приложения, для поиска в нем захардкоженных секретов или дальнейшего анализа API эндпоинтов, которое оно обрабатывает.
Если приложение обфусцировано, что часто бывает с APK, утилита проанализирует все аннотации и, если они похожи на типичное объявление API эндпоинтов, построит HTTP запросы на основе них. В случае, если данная функциональность сработала неправильно, используя jadx вы можно легко сформировать mapping-файлы для переименования обфусцированных классов и корректного формирования HTTP-запросов.
2🔥14👍6🤯2
Раскрыли подробности новой уязвимости в Next.JS
CVE-2025-29927. Уязвимость затрагивает все версии Next.js начиная с 11.1.4. Суть проблемы — некорректная обработка заголовка x-middleware-subrequest, позволяющая полностью игнорировать middleware, включая проверку авторизации и перезапись путей.Как это работает
Next.js использует
x-middleware-subrequest для внутренних нужд: он указывает, какие middleware уже были пройдены. Однако злоумышленник может сам подставить значение, указывающее, что middleware уже обработан, и тем самым обойти все проверки.x-middleware-subrequest: middleware:middleware:middleware:middleware:middleware
x-middleware-subrequest: src/middleware:src/middleware:src/middleware:src/middleware:src/middleware
Пример запроса:
GET /admin/dashboard HTTP/1.1
Host: vulnerable.site
x-middleware-subrequest: middleware:middleware:middleware:middleware:middleware
Результат: Middleware полностью игнорируется, и запрос проходит, как будто пользователь авторизован.
Другие сценарии атак
Если middleware устанавливает Content-Security-Policy и другие заголовки - они будут проигнорированы.
Например, если сайт делает rewrite на основе геолокации, можно закэшировать "пустую" или ошибочную версию страницы, нарушив доступность для других.
Кого это касается
Приложения, использующие middleware для авторизации или других чувствительных задач. Если middleware не используется - уязвимость малозначима (кроме DoS-сценариев).
📖 Подробнее:
https://zhero-web-sec.github.io/research-and-things/nextjs-and-the-corrupt-middleware
#web #bac #cache #dos #csp
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥28👍4
Forwarded from Standoff 365
Хотите задать вопрос топовым хакерам из Synack и HackerOne?
В нашем канале коммуникации 15 апреля в 19:00 (мск) пройдет стрим в формате ответов на все ваши вопросы с топовыми хакерами Hussein Daher и Nikhil "Niksthehacker" Shrivastava!
Что будет на стриме?
🔥 Как гости стрима пришли в багбаунти и что стало точкой невозврата?
🔥 На каких уязвимостях они фокусируются и почему?
🔥 Как понять, когда копать глубже, а когда менять таргет?
🔥 Самые запоминающиеся репорты, инсайты и лайфхаки.
Кто в эфире?
🔹 Hussein Daher — этичный хакер, который с 2014 года нашел более 1500 уязвимостей более чем в 800 компаниях. Основатель WebImmunify․com, компании, которая занимается пентестом и консультациями по кибербезопасности.
🔹Nikhil Shrivastava (Niksthehacker) — Synack Legend Hacker — помог найти более 1500 уязвимостей в продуктах Google, Microsoft, Tesla. Выступал на DEF CON, BlackHat и RSA.
Модератором стрима выступит Александр Мошков.
💡 Готовьте вопросы — спикеры ответят на все, что вы захотите узнать!
В нашем канале коммуникации 15 апреля в 19:00 (мск) пройдет стрим в формате ответов на все ваши вопросы с топовыми хакерами Hussein Daher и Nikhil "Niksthehacker" Shrivastava!
Что будет на стриме?
🔥 Как гости стрима пришли в багбаунти и что стало точкой невозврата?
🔥 На каких уязвимостях они фокусируются и почему?
🔥 Как понять, когда копать глубже, а когда менять таргет?
🔥 Самые запоминающиеся репорты, инсайты и лайфхаки.
Кто в эфире?
🔹 Hussein Daher — этичный хакер, который с 2014 года нашел более 1500 уязвимостей более чем в 800 компаниях. Основатель WebImmunify․com, компании, которая занимается пентестом и консультациями по кибербезопасности.
🔹Nikhil Shrivastava (Niksthehacker) — Synack Legend Hacker — помог найти более 1500 уязвимостей в продуктах Google, Microsoft, Tesla. Выступал на DEF CON, BlackHat и RSA.
Модератором стрима выступит Александр Мошков.
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍10🤔1😢1
Forwarded from InfoSec VK Hub
Стартуем с практикой раскрытия отчетов от багхантеров! На платформе Standoff Bug Bounty уже доступны первые 7 отчетов, подготовленные cutoffurmind, kedr и circuit.
Делимся инсайтами авторов
circuit:
«Начинающие багхантеры должны как-то учиться. Учиться на чужих примерах — это отличный вариант. Да и программы будут получать больше репортов после дисклозов, мне так кажется. Кого-то эти отчеты смогут мотивировать на поиск уязвимостей».
cutoffurmind:
«Это редкий вариант эксплуатации blind RCE, когда на выходе имеем только exit status код процесса. А еще уязвимость была найдена после анализа исходного кода проекта на GitHub».
kedr:
«Помимо обмена опытом (а большая часть багбаунти — это изучение находок других хантеров), дисклозы создают ощущение «движухи» и подталкивают тебя к тому, чтобы тоже пойти и потыкать программу. Кроме того, можно посмотреть, как компания оценивает уязвимости и высчитывает критичность — ведь одна и та же XSS может быть как medium, так и high-critical».
И не забывайте, что с Bounty Pass можно копить бонусы к выплатам на целый год.
VK Security
#bugbounty #bountypass #reports
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🔥6😢2🤔1
Forwarded from Поросёнок Пётр
Eсть у меня один приятель, с которым время от времени случаются продуктивные коллабы на bug bounty. Причём он даже не багхантер, а скорее разработчик на консалтинге, который однажды соприкоснулся с моим репортом.
В очередной раз он притащил в наш чат какие-то результаты в виде self-XSS. Но, к моему удивлению, он не оставил эту историю как есть, а допихал self-XSS через wkhtmltopdf и wicked_pdf(Ruby wrapper) в максимально опасную RCE. Причём с RCE его явно хотели прокатить в оценке критичности, ну и я ему подсказал, в каких файлах можно пошариться для определения действительно правильной критичности. В итоге он получил заслуженный critical. И даже написал статейку об этой находке.
PS: мне кажется я бы даже не стал пытаться допинывать self-xss. Но видимо пришло время пересмотреть свои взгляды на мир client-side issues🙈
https://medium.com/@handball10/from-self-xss-to-rce-in-ruby-on-rails-1f9f2d33c1cb
В очередной раз он притащил в наш чат какие-то результаты в виде self-XSS. Но, к моему удивлению, он не оставил эту историю как есть, а допихал self-XSS через wkhtmltopdf и wicked_pdf(Ruby wrapper) в максимально опасную RCE. Причём с RCE его явно хотели прокатить в оценке критичности, ну и я ему подсказал, в каких файлах можно пошариться для определения действительно правильной критичности. В итоге он получил заслуженный critical. И даже написал статейку об этой находке.
PS: мне кажется я бы даже не стал пытаться допинывать self-xss. Но видимо пришло время пересмотреть свои взгляды на мир client-side issues🙈
https://medium.com/@handball10/from-self-xss-to-rce-in-ruby-on-rails-1f9f2d33c1cb
🔥33👍9😢1
В эту пятницу слетал в МСК, куда меня позвали на BugZone 4.0 и на котором я также выступил с лайтовым докладом про сканирования на багбаунти.
В положительную сторону, как всегда, отмечу крутую организацию, мерч, активности, напитки и всё такое. Из минусов, лично для меня, это раннее завершение мероприятия. К сожалению, не со всеми успел пообщаться. Кроме того, многих знакомых просто не было.
В остальном, всё отлично, ждем новых программ и активностей. Багхантить пока особо некогда, но, надеюсь, быстро раскидаю все свои дела и в ближайшее время вернусь к тыканью кавычек.
В положительную сторону, как всегда, отмечу крутую организацию, мерч, активности, напитки и всё такое. Из минусов, лично для меня, это раннее завершение мероприятия. К сожалению, не со всеми успел пообщаться. Кроме того, многих знакомых просто не было.
В остальном, всё отлично, ждем новых программ и активностей. Багхантить пока особо некогда, но, надеюсь, быстро раскидаю все свои дела и в ближайшее время вернусь к тыканью кавычек.
🔥29👍6😢2
Там кстати стартанул прием заявок на Pentest Award 2025. Я подавался в прошлом году, смог попасть в шорт лист, но до тройки лучших, по мнению жюри, не дотянул.
В этом году появились новые номинации, в том числе за лучший факап, когда что-то пошло не по плану и вы, например, положили прод.
У меня в заначке есть еще пару интересных кейсов на багбаунти, которые, возможно, оформлю в виде статьи и также попробую попытать удачу в этом году.
В этом году появились новые номинации, в том числе за лучший факап, когда что-то пошло не по плану и вы, например, положили прод.
У меня в заначке есть еще пару интересных кейсов на багбаунти, которые, возможно, оформлю в виде статьи и также попробую попытать удачу в этом году.
Telegram
Just Security
Открыли прием заявок на Pentest award 2025!
💡Каждый год мы зажигаем новые яркие лампочки в гирлянде отечественного рынка кибербезопасности — компетентных специалистов, которые остаются за кадром большой работы по поиску уязвимостей.
Участие все еще бесплатное…
💡Каждый год мы зажигаем новые яркие лампочки в гирлянде отечественного рынка кибербезопасности — компетентных специалистов, которые остаются за кадром большой работы по поиску уязвимостей.
Участие все еще бесплатное…
👍11🔥6😁3🤔1😢1
Forwarded from BI.ZONE Bug Bounty
Ивент вышел очень насыщенным. Просто оставим это бинго здесь без лишних слов. Уверены, у каждого участника найдется хоть один пункт, достойный галочки.
А всем, кто не смог быть с нами на очном ивенте, предлагаем посмотреть записи докладов:
Гулевский Роман (mr4nd3r50n)
VK / YouTube
Сиряк Илья (shdw)
VK / YouTube
Приятного просмотра!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥26👍2😁2
Год назад эту защиту нельзя было обойти, однако сейчас это стало реально. Про интересную особенность рассказали в X.
Дело в том, что раньше нельзя было использовать точку в протоколе, но теперь браузер Chromium ее поддерживает (
Соответственно, мы можем использовать пэйлоад типа
#web #bypass
Дело в том, что раньше нельзя было использовать точку в протоколе, но теперь браузер Chromium ее поддерживает (
URL вернет действительное имя хоста с любым недействительным протоколом, даже с точкой) Соответственно, мы можем использовать пэйлоад типа
evil.com://www.example.com. Хост www.example.com будет в списке разрешенных, к параметру добавится префикс «https://» и мы получим редирект на https://evil.com//www.example.com. #web #bypass
🔥42👍5😁1🤔1