В одном из недавних постов мы разбирались с понятием parameter discovery. Приведенные инструменты помогут в выявлении скрытых эндпоинтов, недокументированных параметров и незамеченных путей, которые расширяют зону атаки.

Сегодня мы пойдем дальше и познакомимся с такими практическими методами, как фаззинг параметров, forced browsing и поиск путей/параметров, а также разберемся, как использовать целевые словари, парсить файлы и анализировать JavaScript, чтобы находить точки входа для более результативного багхантинга.

1️⃣ После получения полной структуры приложения с помощью Burp Suite, проанализируйте файлы robots.txt и sitemap.xml на наличие пропущенных путей, используйте Google-дорки и инструменты из предыдущего поста для улучшения процесса поиска параметров.

2️⃣ Сделайте акцент на анализе JavaScript-файлов. Это помогает понять, какие параметры стоит начать фаззить, какие роуты, скорее всего, обрабатывают конфиденциальные данные и где могут быть неправильные настройки.

Полезные инструменты:

🖤 LinkFinder — простой Python-скркипт, который сканирует JavaScript-файлы и извлекает URL-адреса, пути и параметры.

🖤 jsluice — Go-пакет и CLI-инструмент для извлечения URL-адресов, путей, секретов и других интересных данных из исходников JavaScript.

🖤 JavaScript bookmarklet — сниппет JavaScript-кода, сохранённый в виде закладки в браузере. При нажатии на любую веб-страницу код запускается в браузере и извлекает информацию без использования внешних инструментов или переключения контекста.

👉 Пример извлечения эндпоинтов из JavaScript:

javascript:(function(){var scripts=document.getElementsByTagName("script"),regex=/(?<=(\"|\'|\`))\/[a-zA-Z0–9_?&=\/\-\#\.]*(?=(\"|\'|\`))/g;const results=new Set;for(var i=0;i<scripts.length;i++){var t=scripts[i].src;""!=t&&fetch(t).then(function(t){return t.text()}).then(function(t){var e=t.matchAll(regex);for(let r of e)results.add(r[0])}).catch(function(t){console.log("An error occurred: ",t)})}var pageContent=document.documentElement.outerHTML,matches=pageContent.matchAll(regex);for(const match of matches)results.add(match[0]);function writeResults(){results.forEach(function(t){document.write(t+"<br>")})}setTimeout(writeResults,3e3);})();

🖤 Расширения Burp Suite для анализа JavaScript: JSLinkFinder, GAP, JSpector и другие.

3️⃣ Фаззинг — отправка различных, часто неожиданных входных данных, включая пути, параметры или HTTP-заголовки, на эндпоинты приложения.

👉 Цель: спровоцировать пограничные случаи, выявить функции, которые никогда не предназначались для публичного использования, и обнаружить слабые места в логике приложения.

👉 Основные возможности:

🖤 Обнаружение скрытых или секретных эндпоинтов.
🖤 Выявление неправильных настроек или проблем с контролем доступа.
🖤 Автоматизация изучения поведения целевого веб-приложения.
🖤 Понимание механизмов работы целевого веб-приложения.

👉 Основные этапы:

💚 Определите базовый уровень: начните с эндпоинтов, которые вы уже обнаружили с помощью ручного сканирования, анализа JavaScript и forced browsing.

💚 Forced browsing: даже хорошо защищённые приложения иногда полагаются на предсказуемые соглашения об именовании, оставшиеся файлы резервных копий или директории по умолчанию, которые, по мнению разработчиков, не будут найдены.

Используя эти предположения, forced browsing предполагает систематическое угадывание путей к файлам, директориям и расширениям для доступа к скрытым или ограниченным ресурсам. Простой пример: settings.php.bak, settings.bak, settings.php.old, settings.old, settings_old.php, settings.php~.

💚 Изучение распространенных административных или других директорий.

4️⃣ Словари: предоставляют входные данные для тестирования эндпоинтов и параметров.

🖤 Общие: common.txt, fuzz.txt.
🖤 Для конкретного языка программирования, фреймворка или стека: ColdFusion и другие.

5⃣ Фаззинг с помощью CLI-инструментов: поиск путей/директорий/расширений, parameter discovery.

Полезные инструменты: feroxbuster, ffuf, dirb, gobuster.

6⃣ Фаззинг с помощью Burp Intruder.

#техники #инструменты #разведка

🐧 Бесплатные cloud-native linux системы. Иногда есть необходимость что-то проверить в своих системах с внешнего хоста, а покупать сервер не хочется или нет возможности. На помощь придут сервисы типа segfault.net (ssh - root:segfault; анонимизированный, есть ограничения, таймаут) или terminator.aeza.net (web-based linux (+Win); ограничение - 15 минут).

🤖 DEEPSEEK RCE/SSRF.

Хайповая AGI deepseek позволяет выполнять произвольные команды, на виртуальном окружении, в котором запущен агент вашей сессии чат-бота с генеративным искусственным интеллектом. Это дает возможность, в том числе и злоумышленникам, использовать мощности этой экосистемы для атак или вредоносных действий.

🔹VK Security Confab #3: всё о Bug Bounty

27 февраля в московском офисе 💙 встречаемся на митапе VK Security Confab. В этот раз обсудим секреты и подводные камни Bug Bounty, техники поиска, инструменты и найденные уязвимости.

Программа митапа уже на сайте, а вот небольшой спойлер:

🔵Петр Уваров поделится планами VK Bug Bounty в 2025 году.

🔵Алексей Лямкин расскажет, как устроен триаж изнутри.

🔵Анна Куренова (SavAnna) поделится мнением, почему дубликат — это не проклятие, а ценный урок.

🔵Юрий Ряднина (circuit) покажет дисклозы нескольких уязвимостей ВКонтакте.

🔵Алексей Жучков (zerodivisi0n) продемонстрирует реальные кейсы, которые могут привести к удаленному исполнению кода.

И конечно, афтепати! 🔹
Обсудим доклады, обменяемся идеями и классно проведем время.

🔹 Скорее регистрируйтесь!
Встреча пройдет только офлайн, онлайн-трансляции и записи не будет.

🔹 Сбор гостей в 18:30, начало — в 19:00.

VK Security

#митап #confab #bugbounty

🔹Багхантеры, вы тут?!

У нас для вас отличная новость: 💙 VK Видео увеличивает выплаты за уязвимости в 2️⃣ раза!

🔹 Когда: 28 февраля – 28 марта

🔹 И не забывайте про плюшки от Bounty Pass Forever:

🔵до +5% бонусов за баги

🔵уникальный мерч за 4+ оплачиваемых отчета до конца марта
@VK Security