Месяц невиданной щедрости

Повышаем оплату всех найденных IDOR во всех программах VK Bug Bounty! 😲
🗓 До 28 декабря

И это плюсом к Bounty pass#3: Advent и накопительному бонусу, которые будут действовать до 19 декабря.

А ведь это еще и крутая возможность получить приглашение на BB Advent Party!

❓Помните, что если до 10 декабря сдать 3 оплачиваемых отчёта или уязвимости совокупно на 300 000 рублей, то вы попадете на нашу новогоднюю вечеринку для багхантеров?

Как говорится, ни слова больше – пора искать IDOR-ы! 🚀

#bugbounty #bountypass #advent

🥷 Разработка методологии багбаунти: руководство для начинающих

На багбаунти-платформе Intigriti недавно вышло руководство по этой теме, поэтому давайте разберемся, с чего начинать багхантерам без опыта.

Методология поиска уязвимостей — это ваш уникальный подход к цели, своего рода пошаговый процесс, который должен помочь вам найти наибольшее количество багов. У каждого свой уникальный подход к поиску.

🕷 Крепкая база — залог успеха. Изучение основ веб-безопасности должно следовать только после изучения основ построения веба.
🕷 Определите ваши сильные стороны, чтобы глубже изучить определенный класс веб-уязвимостей, стек технологий или тип цели.
🕷 Постоянная практика и совершенствование. Как итог — вы начнете генерировать уникальные идеи, с помощью которых будете быстрее приближаться к цели.
🕷 Разработка автоматизированной системы и чек-листа. Если вы постоянно повторяете одни и те же действия при выполнении определённой задачи, автоматизируйте их для экономии времени. Чек-лист поможет обеспечить последовательность в тестировании.

🤝 Несколько дополнительных советов, которые можно продолжать до бесконечности:

✅ Доводите каждую цель до логического завершения, но не перегибайте. Здесь важен баланс — если за определенное вами время ничего не нашлось, лучше вернуться к цели позже.
✅ Следите за изменениями в программе и ваших целях.
✅ JavaScript-файлы — золотая жила. Не пренебрегайте анализом исходников.
✅ Сохраняйте заметки об интересном поведении.
✅ Выберите программу в соответствии со скиллами.
✅ Ознакомьтесь с документацией по продукту, который исследуете.
✅ Шансы найти баги в программе с большим скоупом намного выше. Не забывайте об этом.

🕷 Bug Bounty Ru

💭 Что из этого вы считаете наиболее полезным?

#этобаза

🕷 Привет, багхантеры! Начало зимы — повод попробовать что-то новое ❄️

Мы хотим переформатировать наше сообщество в площадку для обучения и профессионального общения. Давайте больше обмениваться опытом и находить больше крутых багов!

🕷 Что будет, если объединить инструмент веб-фаззинга вроде ffuf с большими языковыми моделями (LLM, Large Language Model)?

Эту идею подхватила команда Invicti Security, реализовав инструмент brainstorm. Он использует ИИ для генерации путей и имён файлов, комбинируя традиционные методы фаззинга с новыми, основанными на искусственном интеллекте. Это позволяет находить больше эндпоинтов с меньшим количеством запросов.

⚙️ Как работает инструмент?

✔️ Извлекает начальные ссылки с целевого веб-ресурса.
✔️ Использует LLM-модели для анализа структуры и предложения новых путей.
✔️ Фаззит эти пути с помощью ffuf.
✔️ На основе найденных данных генерирует новые предложения путей и повторяет процесс.

Один из полезных кейсов — обработка коротких имён файлов в IIS старых версий и их расшифровка с помощью LLM. А ниже — простой пример запуска инструмента с кастомными циклами и моделью:

python fuzzer.py "ffuf -w ./fuzz.txt -u http://target.com/FUZZ" --cycles 100 --model llama2:latest

P. S. Применение LLM для разведки — отличная идея, но в итоге эффективность последней может упереться в размеры модели.

🔗 GitHub
🔗 Анонс инструмента

#инструменты

🕷 Как узнать секреты веб-сервера, включая спрятанные неправильные конфигурации, слепое внедрение структур данных, скрытые роуты к запрещенным зонам?

В этом могут помочь web timing атаки, но не те, о которых вы знаете в теории и пробовали на стенде, а работающие на практике. James Kettle, директор по исследованиям в PortSwigger, знает, о чем говорит.

Его новое исследование посвящено эффективным методам выявления неправильных настроек и багов на стороне сервера, а также проблем с reverse proxy:

1️⃣ Web timing атаки используют измерения времени ответа веб-сервера для выявления багов (неправильных настроек или ошибок в реализации алгоритмов на сервере). Современные технологии позволяют определять различия в миллисекундах, что делает такие атаки возможными даже в реальных условиях.

2️⃣ Теоретические ограничения и их преодоление: раньше считалось, что web timing атаки не могут быть эффективными из-за сетевого шума и задержек. Однако, исследование демонстрирует, как новые подходы могут минимизировать эти помехи и точно обнаружить даже самые тонкие различия.

3️⃣ Использование в реальных условиях включает методы для автоматического обнаружения и эксплуатации этих багов. Вы можете использовать приведенные в исследовании наработки для тестирования безопасности реальных веб-приложений и сервисов, чтобы находить:

🔘 Server-side injection
🟠Blind SQLi
🟠Blind JSON injection
🟠Blind server-side parameter pollution
🔘 Reverse proxy misconfiguration
🟠Scoped SSRF
🟠Firewall bypass
🟠Hidden destinations
🟠Front-end rule bypass
🟠Front-end impersonation

🔗 Читать исследование (+ PDF)
🔗 Смотреть выступление на DEF CON

#практика

🕷5 лучших инструментов для поиска багов методом белого ящика

Поиск багов методом белого ящика можно автоматизировать с помощью различных инструментов, которые упрощают, ускоряют и улучшают результаты поиска багов. Использовать этот подход можно в багбаунти-программах, в которых предусмотрены соответствующие условия, — есть исходники приложения или их можно получить самому.

В отличие от типичного сценария багбаунти, в данном случае вы имеете доступ к исходникам целевого приложения. Поэтому вам понадобятся IDE или редактор кода, отладчик, фаззер и инструмент SAST для отслеживания рабочего процесса обработки кода и обнаружения шаблонов в коде.

Фаззеры особенно незаменимы, поскольку они могут работать локально на вашей системе, не испытывая проблем с сетевыми задержками или ограничениями скорости.

Команда багбаунти-платформы YesWeHack описала, пожалуй, самые полезные инструменты в каждой из этих категорий, а также эффективный инструмент для поиска соответствующей документации:

1️⃣ Visual Studio Code
2️⃣ Visual Studio Code debugger
3️⃣ SonarQube
4️⃣ American Fuzzy Lop plus plus (AFL++)
5️⃣ DevDocs

#инструменты

🕷 Команда ProjectDiscovery представила новый инструмент URLFinder, который раньше являлся частью фреймворка Katana

🧐 Что это за инструмент и зачем он нужен?

Разведка — один из самых важных этапов в процессе поиска багов. Чем эффективнее вы ее проведете, тем больше шансов найти реальные баги.

Проблема в том, что используемый вами инструмент для «обхода» целевого приложения (паук) не всегда может найти тот самый функционал, поэтому на помощь приходят URLFinder или waybackurls от багхантера Tom Hudson (tomnomnom).

URLFinder — это простой инструмент, который ориентирован на пассивное сканирование для поиска URL-адресов из источников, доступных в Интернете. Под капотом:

✔️ Специально подобранные пассивные источники для максимального всестороннего обнаружения URL-адресов.
✔️ Поддержка нескольких форматов вывода (JSON, файл, stdout) + STDIN/OUT для простой интеграции в существующие рабочие процессы.

🔥 GitHub

#инструменты

🎙️ Рынок уязвимостей, сканеры уязвимостей: подкаст Global Digital Space

Кто-то ищет баги вручную, кто-то полагается на сканеры, а кто-то разрабатывает уникальные подходы. Одно точно ясно — это важный инструмент как для атакующей, так и защищающей стороны.

Но как выглядит рынок сканеров сегодня и какие перспективы его ожидают? Об этом размышляют Лука Сафонов и эксперты отрасли:

➖ Владимир Иванов (Scanfactory)
➖ Кирилл Селезнёв (CICADA8)
➖ Александр Леонов (Positive Technologies)

⌛️ Таймкоды:

00:00 — начало
1:54 – 10:42 — история рынка сканеров
11:20 – 14:27 — что под капотом у сканеров
14:40 – 15:35 — про российские сканеры
15:37 – 20:22 — обмен фидами
21:00 – 31:17 — чем пользуются атакующие
32:00 – 40:27 — EASM vs VM
40:57 – 46:31 — нужен ли патчинг
50:00 – 55:30 — все ли уязвимости эксплуатабельны
56:40 – 1:00:35 — фолзы
1:01:00 – 1:08:00 — взгляд пентестеров и проблема VM
1:08:40 – 1:13:00 — детект уязвимостей и квалификация
1:14:19 – 1:35:50 — EASM решает другие задачи?
1:35:50 – 1:43:51 — тренды рынка

📱 VK
📺 RUTUBE
📺 YouTube

#подкасты

😈 Подписанные веб-токены широко используются для аутентификации и авторизации без сохранения состояния в вебе. Самый популярный и знакомый всем формат — JSON Web Tokens (JWT), но за его пределами процветает разнообразная экосистема стандартов, каждый из которых имеет собственную реализацию хранения данных и безопасности.

Чтобы помочь оценить их, команда PortSwigger выпустила новое опенсорсное расширение SignSaboteur. Это расширение Burp Suite, которое поддерживает различные типы токенов, включая Django, Flask и Express, оно позволяет редактировать, подписывать, проверять и атаковать эти токены.

Инструмент обеспечивает автоматическое обнаружение и встроенное редактирование токенов в HTTP-запросах/ответах и ​​веб-сокетах. Под капотом — готовые словари для секретных ключей и соли по умолчанию, а также поддержка строк в JSON-кодировке и кастомных словарей. Вы также можете сохранять известные ключи для будущих атак и изменять подписанные токены в разделах Proxy и Repeater.

🕷Ключевые фичи:

✅ Автоматическое обнаружение и редактирование: встроенное редактирование токенов в HTTP-запросах/ответах и веб-сокетах.
✅ Готовые словари: включают в себя секретные ключи и соли по умолчанию, а также поддержку кастомных словарей и строк в JSON-кодировке.
✅ Брутфорс атаки: автоматизирует атаки методом перебора с использованием известных ключей и различных методов вывода.
✅ Атаки для обхода авторизации: поддерживает множественные атаки байпаса.
✅ Режим неизвестных подписанных строк: обнаруживает и анализирует неизвестные подписанные токены с использованием различных функций хеширования.

Читать подробнее:
🔗 Обзор на YesWeHack
🔗 Анонс на PortSwigger
🔗 GitHub

#инструменты

🕷 Как популярные браузеры анализируют HTML и как эта информация может помочь выявить mXSS?

Об XSS с мутациями (mutation-based XSS или mXSS) в сообществе багхантеров известно уже давно, но так ли часто вам удается их найти в реальных багбаунти-программах? С Dom-Explorer точно удастся.

🤔 В чем сложность mXSS?

mXSS использует код, который воспринимается HTML-санитайзерами как безопасный, а после прохождения очистки мутирует во вредоносный. В этом и состоит парадоксальность и опасность этого типа XSS атак.

Dom-Explorer как раз полезен для обнаружения и поиска mXSS. Он демонстрирует, как популярные средства парсинга HTML реагируют на любую заданную HTML-строку, чтобы помочь вам выявить непредвиденное поведение, которое может открыть новые перспективные области для исследований. Поддерживаемые типы парсеров/санитайзеров: Ammonia, Angular, DomParser, DomPurify, HighlightJs, JsXss, Parse5, SafeValues, SrcdocParser, TemplateParser.

Главная фича — скорость тестирования новых идей и мгновенное отображение результатов. Инструмент, на который он больше всего похож, — это Live DOM Viewer с более скудными возможностями. А вдохновлялся автор всем известным Cyberchef.

До появления Dom-Explorer проведение такого рода исследований занимало гораздо больше времени — «особенно если вы тестируете глубоко вложенные элементы» — и включало гораздо больше этапов, говорит разработчик инструмента. Иногда это было практически «невозможно сделать с помощью классических инструментов».

💡 Dom-Explorer рекомендуется использовать в сочетании с HTML Living Standard от WHATWG и проверять, соответствуют ли браузеры этому стандарту.

🔗 Попробовать Dom-Explorer в деле
🔗 GitHub
🔗 Анонс инструмента

#инструменты