Подгон от Сергея "pohek" Зыбнева

Три богатыря и Bug Bounty. Сходили в кино на анимационный фильм "Три богатыря. Ни дня без подвига". Три короткие истории. Первая, думаю, ИБшникам зайдёт. 😉

Князь с подачи коня Юлия внедряет во дворце систему безопасности и объявляет багбаунти программу для выявления уязвимостей в ней: кто реализует успешное проникновение и реализацию недопустимого события (кражу короны), тот получит 100 сладких пряников.

В результате недопустимое событие реализуют, но за наградой никто не обращается. 😱🫣

Пришлось Алёше Поповичу проводить ресёрч как же злоумышленнику получилось обойти средства защиты. 😏

В итоге оказалось, что был реализован совсем не тот вектор, от которого защищались. 🤷‍♂️ Как это и бывает.

Мораль? 🙂 Тщательнее оговаривайте условия Bug Bounty программы. Она не обязательно должна быть публичной, зачастую приватная программа с ограниченным количеством проверенных участников (или даже обычный пентест) получается эффективнее и безопаснее. 😉

@avleonovrus #профдеформация #fun #BugBounty #pentest #мульт #дыбр

Всем привет!

🎊Шкала прогресс-бара BountyPass#1 от VK заполнена полностью, и вам доступны сразу два супер-события:

1️⃣ Повышается вознаграждения во всех программах VK (причем навсегда):
в большинстве программ увеличатся максимальные стоимости, например:
🔹SkillFactory в два раза - со 120 до 250 тыс. рублей
🔹VK Реклама на 50% - с 600 до 1 млн рублей
🔹VK Teams на 50% - с 1,2 до 1,8 млн рублей

а в топовых программах (Почта, Облако и Календарь Mail.ru, ВКонтакте, RuStore) будет увеличение в нескольких категориях. Подробнее можно ознакомиться на (https://bugbounty.ru/app/programs/vk/
)

2️⃣ Заработанный бонус этого сезона сохранится, и вы сможете продолжить его накопление в следующем BountyPass#2: Olymp

Желаем всем отлично отметить финал, отправив побольше репортов!

Google объявила о пятикратном увеличении выплат за ошибки, обнаруженные в системах и приложениях, в рамках программы вознаграждения за уязвимости. Теперь их максимальный размер составит $151 515.

«Поскольку наши системы со временем стали более безопасными, мы знаем, что поиск ошибок занимает гораздо больше времени — учитывая это, мы очень рады объявить, что увеличиваем суммы вознаграждений до 5 раз», — заявили в Google.

Так, за уязвимости RCE в наиболее конфиденциальных продуктах с модификатором 1,5x выплатят $101 010, а, если отчёт будет «исключительного качества», то сумма вырастет до $151 515.

https://bughunters.google.com/blog/5400513950908416/increasing-google-alphabet-vrp-rewards-up-to-151-515

Багхантер, когда отправил отчет по уязвимости #bugbounty

Жаркие споры сотен, а может и тысяч багхантеров РФ.

Сделаем так чтобы багхантеры диктовали правила на рынке багбаунти.

А то нынче сложилось мнение, что багхантеры - это люди, которые нуждаются в вендорах. А на деле все наоборот.

Вендоры платят 100к, защищая себя от многомиллионных потерь и репутационных рисков.

По факту, мы багхантеры для вендора дешевая рабочая сила, на данный момент, к сожалению, так есть.

Платформам тоже на данный момент выгоднее принимать только сторону вендора.

Изменится ли все в лучшую сторону для нас, для багхантеров?
Да! Грядут большие перемены!

Сегодня в программах VK стартует Bounty pass#2: Olymp⛰️
Что вас ждет в этот раз?

Бонус + бонус + бонус=♾️
Запоминаем главное: нет лимита на накопительный бонус - все бонусы суммируются! 🤩
Как это работает? Продолжает действовать +5% с каждым новым оплачиваемым отчетом, а те, кто успел накопить бонус с Bounty pass#1: Progress, начнут взбираться на Олимп вместе с ним. 🧗‍♂️

2 победителя - тот, кто сдаст максимальное количество уязвимостей и кто получит максимальную сумму вознаграждений до 21 октября. Эти двое заработают +10% для каждого оплачиваемого отчета на целый год!

Багхантеры соревнуются друг с другом в личном зачете
Лучшие получат уникальные наборы мерча:
• 🥇 за 10 оплачиваемых уязвимостей или общая сумма вознаграждений 1 миллион рублей
• 🥈 за 6 оплачиваемых уязвимостей или общая сумма вознаграждений 600 тысяч рублей
• 🥉 за 3 оплачиваемые уязвимости или общая сумма вознаграждений 300 тысяч рублей
Подробнее об условиях и таблице олимпийцев.

Желаю вам победы! 🏆

Зачастую, иследуя мобильные приложения можно найти интересные эндпоинты и данные, не стоит этим пренебрегать. Вот свежая статья по настройке SSL pinning на iOS и Android: https://habr.com/ru/articles/830492/

Пётр Уваров из VK провёл аналитику багхантеров: https://habr.com/ru/companies/vk/articles/830922/

Думаю не за горами багбаунти automotive, полезный материал: https://habr.com/ru/articles/828748/

Рана Робиллэрд, являющаяся в данный момент топ-менеджером одного из стартапов в Кремниевой Долине и бывшая в 2020-2021-м годах одним из руководителей компании HackerOne, попалась на удочку мошенников, заставивших ее перевести им почти 400 тысяч долларов.

Кто-то попытался забрать свои баунти.

Что опасного в публичном отображении phpinfo?

Сдаешь такой в багбаунти, а тебе говорят, ну где импакт, CVSS 2.6?

А ты такой, ну смотри какой импакт:
- Дает узнать о конфигурации PHP, в том числе о версии, установленных модулях, путях к файлам и т.д. Что поможет эксплуатировать другие уязвимости.
- Раскрывается информация о реальном расположении серверов (если они скрыты за anti-DDOS или CDN)
- Отдельно стоит отметить, что в эпоху этих ваших docker-compose, иногда в нем раскрывается чувствительная информация в переменных окружения (рили видел креды от базы в ENV)
- Помогает эксплуатировать всякие LFI 2 RCE
- Секция с Cookie раскрывает ВСЕ ПЕЧЕНЬЯ, поэтому позволит украсть их, даже если они HTTPOnly

Я что-то забыл?

>

Одноразка bypass

Попала мне в руки одноразка inflave omega.

одноразовая электронная сигарета

Суть данной приблуды в том, что она заботится о здоровье пользователей и пополнении баланса компании весьма коварным путем. У нее есть лимит на определенное количество затяжек, что обычно служит информационным напоминанием юзеру, когда он будет потреблять вкусный и ароматный пар, а не горькую вату, но здесь ситуация немного другая.
В один момент сигарета перестала подавать признаки жизни. Исходя из индикации стало понятно, что аккумулятор заряжен, но продолжать дальнейший кумар не представлялось возможным. Датчик совершенных затяжек указывал на 0%, хоть я и чувствовал, что жидкости осталось ещё много.

Для начала было решено изучить type-c порт. Если девайс содержит какую-то логику, то возможно у него есть память, которую можно перезаписать. Когда я подключил агрегат к ноутбуку мне не довелось увидеть ничего стоящего, кроме индикации заряда на самом устройстве. Судя по всему отладка через порт не предусмотрена, но никотиновая ломка оказалась сильнее ограничений вендора.
Я начал думать, каким образом реализовано хранение данных и предположил, что сохранять такие значения в постоянной памяти нецелесообразно и дорого. На этой мысли появилась надежда, что при отсутствии питания - значения в памяти сбросятся и индикация присутствия жидкости вновь покажет максимальное значение. Будто оно пропадет из оперативной памяти или как откатится время, в случае с отсутствием питания на батарейке биоса.
После разбора корпуса и переподключения аккумулятора так и произошло, живительный дым снова пошел из недр устройства, а дисплей показывал, что количество жидкости соответствует 100%

За этот удачный пентест я получил дополнительную дозу яда своему организму, чему был очень рад.

#BusinessLogic

Победители BountyPass от VK https://bugbounty.vk.company/bountypass1

Похожая схема атаки в свое время была реализована на инфру того самого мессенджера, но выплата была мизерная.

Думаю следующей итерацией будет ::0 day.
https://www.securitylab.ru/news/550918.php?lang=ru