🕷 Привет, багхантеры! Начало зимы — повод попробовать что-то новое ❄️

Мы хотим переформатировать наше сообщество в площадку для обучения и профессионального общения. Давайте больше обмениваться опытом и находить больше крутых багов!

🕷 Что будет, если объединить инструмент веб-фаззинга вроде ffuf с большими языковыми моделями (LLM, Large Language Model)?

Эту идею подхватила команда Invicti Security, реализовав инструмент brainstorm. Он использует ИИ для генерации путей и имён файлов, комбинируя традиционные методы фаззинга с новыми, основанными на искусственном интеллекте. Это позволяет находить больше эндпоинтов с меньшим количеством запросов.

⚙️ Как работает инструмент?

✔️ Извлекает начальные ссылки с целевого веб-ресурса.
✔️ Использует LLM-модели для анализа структуры и предложения новых путей.
✔️ Фаззит эти пути с помощью ffuf.
✔️ На основе найденных данных генерирует новые предложения путей и повторяет процесс.

Один из полезных кейсов — обработка коротких имён файлов в IIS старых версий и их расшифровка с помощью LLM. А ниже — простой пример запуска инструмента с кастомными циклами и моделью:

python fuzzer.py "ffuf -w ./fuzz.txt -u http://target.com/FUZZ" --cycles 100 --model llama2:latest

P. S. Применение LLM для разведки — отличная идея, но в итоге эффективность последней может упереться в размеры модели.

🔗 GitHub
🔗 Анонс инструмента

#инструменты

🕷 Как узнать секреты веб-сервера, включая спрятанные неправильные конфигурации, слепое внедрение структур данных, скрытые роуты к запрещенным зонам?

В этом могут помочь web timing атаки, но не те, о которых вы знаете в теории и пробовали на стенде, а работающие на практике. James Kettle, директор по исследованиям в PortSwigger, знает, о чем говорит.

Его новое исследование посвящено эффективным методам выявления неправильных настроек и багов на стороне сервера, а также проблем с reverse proxy:

1️⃣ Web timing атаки используют измерения времени ответа веб-сервера для выявления багов (неправильных настроек или ошибок в реализации алгоритмов на сервере). Современные технологии позволяют определять различия в миллисекундах, что делает такие атаки возможными даже в реальных условиях.

2️⃣ Теоретические ограничения и их преодоление: раньше считалось, что web timing атаки не могут быть эффективными из-за сетевого шума и задержек. Однако, исследование демонстрирует, как новые подходы могут минимизировать эти помехи и точно обнаружить даже самые тонкие различия.

3️⃣ Использование в реальных условиях включает методы для автоматического обнаружения и эксплуатации этих багов. Вы можете использовать приведенные в исследовании наработки для тестирования безопасности реальных веб-приложений и сервисов, чтобы находить:

🔘 Server-side injection
🟠Blind SQLi
🟠Blind JSON injection
🟠Blind server-side parameter pollution
🔘 Reverse proxy misconfiguration
🟠Scoped SSRF
🟠Firewall bypass
🟠Hidden destinations
🟠Front-end rule bypass
🟠Front-end impersonation

🔗 Читать исследование (+ PDF)
🔗 Смотреть выступление на DEF CON

#практика

🕷5 лучших инструментов для поиска багов методом белого ящика

Поиск багов методом белого ящика можно автоматизировать с помощью различных инструментов, которые упрощают, ускоряют и улучшают результаты поиска багов. Использовать этот подход можно в багбаунти-программах, в которых предусмотрены соответствующие условия, — есть исходники приложения или их можно получить самому.

В отличие от типичного сценария багбаунти, в данном случае вы имеете доступ к исходникам целевого приложения. Поэтому вам понадобятся IDE или редактор кода, отладчик, фаззер и инструмент SAST для отслеживания рабочего процесса обработки кода и обнаружения шаблонов в коде.

Фаззеры особенно незаменимы, поскольку они могут работать локально на вашей системе, не испытывая проблем с сетевыми задержками или ограничениями скорости.

Команда багбаунти-платформы YesWeHack описала, пожалуй, самые полезные инструменты в каждой из этих категорий, а также эффективный инструмент для поиска соответствующей документации:

1️⃣ Visual Studio Code
2️⃣ Visual Studio Code debugger
3️⃣ SonarQube
4️⃣ American Fuzzy Lop plus plus (AFL++)
5️⃣ DevDocs

#инструменты

🕷 Команда ProjectDiscovery представила новый инструмент URLFinder, который раньше являлся частью фреймворка Katana

🧐 Что это за инструмент и зачем он нужен?

Разведка — один из самых важных этапов в процессе поиска багов. Чем эффективнее вы ее проведете, тем больше шансов найти реальные баги.

Проблема в том, что используемый вами инструмент для «обхода» целевого приложения (паук) не всегда может найти тот самый функционал, поэтому на помощь приходят URLFinder или waybackurls от багхантера Tom Hudson (tomnomnom).

URLFinder — это простой инструмент, который ориентирован на пассивное сканирование для поиска URL-адресов из источников, доступных в Интернете. Под капотом:

✔️ Специально подобранные пассивные источники для максимального всестороннего обнаружения URL-адресов.
✔️ Поддержка нескольких форматов вывода (JSON, файл, stdout) + STDIN/OUT для простой интеграции в существующие рабочие процессы.

🔥 GitHub

#инструменты

🎙️ Рынок уязвимостей, сканеры уязвимостей: подкаст Global Digital Space

Кто-то ищет баги вручную, кто-то полагается на сканеры, а кто-то разрабатывает уникальные подходы. Одно точно ясно — это важный инструмент как для атакующей, так и защищающей стороны.

Но как выглядит рынок сканеров сегодня и какие перспективы его ожидают? Об этом размышляют Лука Сафонов и эксперты отрасли:

➖ Владимир Иванов (Scanfactory)
➖ Кирилл Селезнёв (CICADA8)
➖ Александр Леонов (Positive Technologies)

⌛️ Таймкоды:

00:00 — начало
1:54 – 10:42 — история рынка сканеров
11:20 – 14:27 — что под капотом у сканеров
14:40 – 15:35 — про российские сканеры
15:37 – 20:22 — обмен фидами
21:00 – 31:17 — чем пользуются атакующие
32:00 – 40:27 — EASM vs VM
40:57 – 46:31 — нужен ли патчинг
50:00 – 55:30 — все ли уязвимости эксплуатабельны
56:40 – 1:00:35 — фолзы
1:01:00 – 1:08:00 — взгляд пентестеров и проблема VM
1:08:40 – 1:13:00 — детект уязвимостей и квалификация
1:14:19 – 1:35:50 — EASM решает другие задачи?
1:35:50 – 1:43:51 — тренды рынка

📱 VK
📺 RUTUBE
📺 YouTube

#подкасты

😈 Подписанные веб-токены широко используются для аутентификации и авторизации без сохранения состояния в вебе. Самый популярный и знакомый всем формат — JSON Web Tokens (JWT), но за его пределами процветает разнообразная экосистема стандартов, каждый из которых имеет собственную реализацию хранения данных и безопасности.

Чтобы помочь оценить их, команда PortSwigger выпустила новое опенсорсное расширение SignSaboteur. Это расширение Burp Suite, которое поддерживает различные типы токенов, включая Django, Flask и Express, оно позволяет редактировать, подписывать, проверять и атаковать эти токены.

Инструмент обеспечивает автоматическое обнаружение и встроенное редактирование токенов в HTTP-запросах/ответах и ​​веб-сокетах. Под капотом — готовые словари для секретных ключей и соли по умолчанию, а также поддержка строк в JSON-кодировке и кастомных словарей. Вы также можете сохранять известные ключи для будущих атак и изменять подписанные токены в разделах Proxy и Repeater.

🕷Ключевые фичи:

✅ Автоматическое обнаружение и редактирование: встроенное редактирование токенов в HTTP-запросах/ответах и веб-сокетах.
✅ Готовые словари: включают в себя секретные ключи и соли по умолчанию, а также поддержку кастомных словарей и строк в JSON-кодировке.
✅ Брутфорс атаки: автоматизирует атаки методом перебора с использованием известных ключей и различных методов вывода.
✅ Атаки для обхода авторизации: поддерживает множественные атаки байпаса.
✅ Режим неизвестных подписанных строк: обнаруживает и анализирует неизвестные подписанные токены с использованием различных функций хеширования.

Читать подробнее:
🔗 Обзор на YesWeHack
🔗 Анонс на PortSwigger
🔗 GitHub

#инструменты

🕷 Как популярные браузеры анализируют HTML и как эта информация может помочь выявить mXSS?

Об XSS с мутациями (mutation-based XSS или mXSS) в сообществе багхантеров известно уже давно, но так ли часто вам удается их найти в реальных багбаунти-программах? С Dom-Explorer точно удастся.

🤔 В чем сложность mXSS?

mXSS использует код, который воспринимается HTML-санитайзерами как безопасный, а после прохождения очистки мутирует во вредоносный. В этом и состоит парадоксальность и опасность этого типа XSS атак.

Dom-Explorer как раз полезен для обнаружения и поиска mXSS. Он демонстрирует, как популярные средства парсинга HTML реагируют на любую заданную HTML-строку, чтобы помочь вам выявить непредвиденное поведение, которое может открыть новые перспективные области для исследований. Поддерживаемые типы парсеров/санитайзеров: Ammonia, Angular, DomParser, DomPurify, HighlightJs, JsXss, Parse5, SafeValues, SrcdocParser, TemplateParser.

Главная фича — скорость тестирования новых идей и мгновенное отображение результатов. Инструмент, на который он больше всего похож, — это Live DOM Viewer с более скудными возможностями. А вдохновлялся автор всем известным Cyberchef.

До появления Dom-Explorer проведение такого рода исследований занимало гораздо больше времени — «особенно если вы тестируете глубоко вложенные элементы» — и включало гораздо больше этапов, говорит разработчик инструмента. Иногда это было практически «невозможно сделать с помощью классических инструментов».

💡 Dom-Explorer рекомендуется использовать в сочетании с HTML Living Standard от WHATWG и проверять, соответствуют ли браузеры этому стандарту.

🔗 Попробовать Dom-Explorer в деле
🔗 GitHub
🔗 Анонс инструмента

#инструменты

Спойлерим программу конференции VK Security Confab Max

💥 Опубликовали на сайте программу нашей конференции VK Security Confab Max 11 декабря

Что нас ждет? Как и обещали – лютый хардкор!
🤘 Нон-стоп!

Два трека с техническими докладами от ведущих экспертов VK и крупнейших BigTech-компаний.

Ключевые темы:

⭐️ Работа SOC в BigTech: управление алертами и потоком событий, требования к SIEM, а также обнаружение атак.

🛡 Защита инфраструктуры: Service Mesh, эволюция сканирования распределенной инфраструктуры и обнаружение открытых портов.

🎮 Уязвимости: Построение Vulnerability Management в современных реалиях, эксплуатация уязвимостей SSRF и mXSS и защита от них.

🔍 Bug Bounty: концепция Bug Bounty 2.0, защищенность соцсетей и серьезные уязвимости в системах, которые можно обнаружить не только багхантерам.

⚙️ Безопасность приложений (AppSec): безопасность API c применением ML и AI, поиск и приоритизация уязвимостей в зависимостях, разбор популярных сканеров и их недостатков.

💭 Защита облачных технологий: харденинг k8s, защита от атак в публичном облаке, а также техническое устройство сетевой изоляции в облаке.

📍 Москва, офис VK + трансляция онлайн

📅 11 декабря 2024 года

Участие бесплатное, но мест мало
👉 жмите, чтобы зарегистрироваться и узнать программу

➡️ Подписывайтесь на канал VK Security, чтобы не пропустить новости о мероприятии

#confab #max #конференция