🔹Багхантеры, вы тут?!

У нас для вас отличная новость: 💙 VK Видео увеличивает выплаты за уязвимости в 2️⃣ раза!

🔹 Когда: 28 февраля – 28 марта

🔹 И не забывайте про плюшки от Bounty Pass Forever:

🔵до +5% бонусов за баги

🔵уникальный мерч за 4+ оплачиваемых отчета до конца марта
@VK Security

У BugBounty-платформы HackerOne утечка всех ее пользователей, включая пароли доступа к платформе 🔠 Так что, если вы пользователь этой платформы, то впору сменить свои реквизиты доступа к системе 🤒

Кстати, как вы думаете 🤔, что можно сделать, если узнать ваш пароль доступа к BugBounty-платформе? Узнать сумму ваших вознаграждения? Получить доступ ко всем вашим отчетам? Вывести все средства на подставные счета? 🤒 Что-то еще?

#утечка #bugbounty

Привет, охотники! 💥

Сегодня пятница и мы предлагаем вам немного отвлечься и выговориться — расскажите, что вам нравится в "Охоте", а что стоит улучшить. Приключение на пару минут, а польза для всех 🔥

🔸P.S. Среди участников мы разыграем мерч и бонусные промокоды

Ждём ваших ответов тут 👯‍♀

🕷 Эксплуатация CVE-2025-29927 в Next.js на практике

Почему при поиске багов важно не полагаться только на публичные сканеры уязвимостей, а проводить глубокий анализ поведения приложения?

Публичные примеры эксплуатации CVE-2025-29927 показали, что существующие инструменты и шаблоны (nuclei и другие) были недостаточно точными:

➖они упускали редиректы;
➖полагались на нестабильные «сигналы» (x-middleware-*);
➖часто фолсили.

✅ Исследователи из Assetnote разобрались, как точнее обнаруживать и эксплуатировать уязвимость с меньшим количеством фолсов и запросов: используйте заголовок x-nextjs-data: 1, чтобы заставить сервер вернуть x-nextjs-redirect.

Пример запроса:

GET /foo
Host: target
X-Nextjs-Data: 1

Ответ может содержать:

307 Temporary Redirect
x-nextjs-redirect: /

Для эксплуатации используется заголовок X-Middleware-Subrequest:

X-Middleware-Subrequest: src/middleware:nowaf:...:pages/_middleware

➡️ Затронутые версии:

➖Next.js 15.x < 15.2.3,
➖Next.js 14.x < 14.2.2,
➖Next.js 13.x < 13.5.9.

P. S. Выявленная проблема в Next.js показала, что реализация аутентификации и других критических механизмов в слое middleware может быть ненадёжной, особенно если она опирается на поведение, которое можно обойти через определённые HTTP-заголовки.

#техники #CVE

Подготовил для вас самый большой на данный момент гайд по тестированию CMS Bitrix. 😈

➡️Причем, в статье я не только показал все существующие на данный момент известные методы и техники поиска уязвимостей в битриксе, но и поделился своими уникальными наработками. Включая атаки на кастомные модули и анонс собственного сканера под CMS Bitrix.

➡️Также добавил материалы по структуре модулей и матчасть по самому Битриксу. Даже если вы только знакомитесь с этой CMS, после прочтения точно что-нибудь найдете)🥤

Ссылка на статью

💫 @pentestnotes | #pentest #bitrix

🕷 На сайте VK Bug Bounty появилась новая функция — личный кабинет

Теперь каждый участник программы VK может отслеживать:

🔵Количество сданных отчетов
🔵Накопленный бонус Bounty Pass
🔵Срок действия бонуса

#анонсы

🚀 Использование Eyeballer для анализа скриншотов

Наткнулись на большой скоуп в багбаунти и не можете раскидать найденные хосты по категориям? Eyeballer сделает это за вас и найдет интересные цели из огромного набора веб-хостов.

Продолжайте использовать свой любимый инструмент для создания скриншотов (EyeWitness, GoWitness или другой), а затем пропустите их через Eyeballer.

С помощью машинного обучения инструмент проанализирует скрины экрана и отсортирует по категориям, включая:

👀 Легаси страницы
👀 Страницы входа
👀 Кастомные HTTP-ответы 404
👀 Веб-приложения
👀 Припаркованные домены

Попробуйте прямо сейчас 👉 GitHub

#техники #разведка

🕷 Автоматизируем фаззинг с ffufai

Если вы активно используете ffuf для фаззинга директорий и файлов, попробуйте ИИ-помощник ffufai для автоматизации процесса.

➡️ Что умеет:

⭕️ Анализирует URL и заголовки
⭕️ Предлагает релевантные расширения для фаззинга на основе ИИ (GPT или Claude)
⭕️ Экономит время на подбор расширений и помогает находить скрытые точки входа

Инструмент полностью совместим с ffuf и работает с привычными параметрами — ничего не нужно менять в вашем воркфлоу.

👉 Попробуйте на следующем багбаунти-проекте

#инструменты #разведка

🕷 Эксплуатация Vary в дикой природе

Заголовок HTTP-ответа Vary указывает, какие части запроса нужно учитывать при создании ключа кэша. Это помогает предотвратить атаки вроде cache poisoning.

В некоторых кейсах значения заголовка Vary могут указывать, доверяет ли приложение пользовательскому вводу или отражает его в ответе.

➡️ Начальный запрос:

GET / HTTP/1.1  
Host: redacted.com

➡️ Ответ сервера:

HTTP/1.1 200 OK  
Server: Apache/2.4.37  
Vary: X-Forwarded-Host, Origin  
Content-type: text/html; charset=utf-8  
Connection: close  
Content-Length: 11512

Как видно, в ответе есть заголовок Vary, в котором указаны X-Forwarded-Host и Origin. Используем эту информацию, чтобы проверить, доверяет ли приложение пользовательскому вводу:

GET / HTTP/1.1  
Host: redacted.com  
X-Forwarded-Host: example.com

➡️ Ответ сервера:

HTTP/1.1 200 OK  
Server: Apache/2.4.37  
Vary: X-Forwarded-Host, Origin  
Content-type: text/html; charset=utf-8  
Connection: close  
Content-Length: 11509

<!DOCTYPE html>
<html>
...
<script src="https://example.com/assets/js/vendor/jquery-ui.custom.min.js"></script>
...
</html>

Что это значит? Сервер доверяет X-Forwarded-Host — он напрямую попадает в HTML. Это открывает возможность использовать X-Forwarded-Host для поиска аномального поведения.

Если в некоторых ответах X-Forwarded-Host используется без добавления в Vary, то кэш можно потенциально отравить.

Это может привести:

— К SSRF, если заголовок прокидывается внутрь backend-запросов.
— Отравлению кэша, если Vary не всегда прописан или используется неправильно.
— Desync-атакам, особенно в сочетании с другими отражёнными заголовками.

#техники

🕷 Поиск и эксплуатация SSRF: пошаговый гайд

Когда сервер сам начинает ходить по адресам, которые вы ему подсовываете — это и есть Server-Side Request Forgery.

⬆️Вот как выжать из этого максимум:

1️⃣Найдите точки входа. Ищите, где приложение делает запросы: предпросмотр ссылок, загрузка/выгрузка файлов, вебхуки, PDF-генерация и т. д.

Если обрабатывается HTML — можно внедрить вредоносный URL и заставить сервер сходить за вашим пэйлоадом.

2️⃣Анализируйте ошибки. Отправляйте некорректные URL и смотрите на ответы: Connection refused, Invalid hostname, коды 4xx/5xx. Это поможет понять, делает ли сервер внешние запросы.

3️⃣Нацеливайтесь на внутренние ресурсы: пробуйте IP из приватных диапазонов: 127.0.0.1, 10.x.x.x, 192.168.x.x.

Там могут быть админки, dev-сервисы, внутренние API. И да, не забывайте про сканирование портов.

4️⃣Изучите metadata-сервисы. В облачных окружениях можно получить доступ к чувствительным данным:

🔘AWS: http://169.254.169.254/latest/meta-data
🔘Azure: http://169.254.169.254/metadata/instance

Там часто хранятся токены, ключи и данные об окружении.

5️⃣Обходите фильтры и WAF. Если приложение фильтрует IP или схемы, пробуйте обойти:

🔘http://127%2E0%2E0%2E1
🔘http://2130706433
🔘http://[::]:80
🔘или редиректы через внешние серверы.

6️⃣Проверяйте blind SSRF. Даже без видимого ответа можно получить данные через OOB-каналы:

🔘Burp Collaborator
🔘webhook.site

Blind SSRF отлично работает в связке с DNS или HTTP-логами.

#техники