🔹Багхантеры, вы тут?!

У нас для вас отличная новость: 💙 VK Видео увеличивает выплаты за уязвимости в 2️⃣ раза!

🔹 Когда: 28 февраля – 28 марта

🔹 И не забывайте про плюшки от Bounty Pass Forever:

🔵до +5% бонусов за баги

🔵уникальный мерч за 4+ оплачиваемых отчета до конца марта
@VK Security

У BugBounty-платформы HackerOne утечка всех ее пользователей, включая пароли доступа к платформе 🔠 Так что, если вы пользователь этой платформы, то впору сменить свои реквизиты доступа к системе 🤒

Кстати, как вы думаете 🤔, что можно сделать, если узнать ваш пароль доступа к BugBounty-платформе? Узнать сумму ваших вознаграждения? Получить доступ ко всем вашим отчетам? Вывести все средства на подставные счета? 🤒 Что-то еще?

#утечка #bugbounty

Привет, охотники! 💥

Сегодня пятница и мы предлагаем вам немного отвлечься и выговориться — расскажите, что вам нравится в "Охоте", а что стоит улучшить. Приключение на пару минут, а польза для всех 🔥

🔸P.S. Среди участников мы разыграем мерч и бонусные промокоды

Ждём ваших ответов тут 👯‍♀

🕷 Эксплуатация CVE-2025-29927 в Next.js на практике

Почему при поиске багов важно не полагаться только на публичные сканеры уязвимостей, а проводить глубокий анализ поведения приложения?

Публичные примеры эксплуатации CVE-2025-29927 показали, что существующие инструменты и шаблоны (nuclei и другие) были недостаточно точными:

➖они упускали редиректы;
➖полагались на нестабильные «сигналы» (x-middleware-*);
➖часто фолсили.

✅ Исследователи из Assetnote разобрались, как точнее обнаруживать и эксплуатировать уязвимость с меньшим количеством фолсов и запросов: используйте заголовок x-nextjs-data: 1, чтобы заставить сервер вернуть x-nextjs-redirect.

Пример запроса:

GET /foo
Host: target
X-Nextjs-Data: 1

Ответ может содержать:

307 Temporary Redirect
x-nextjs-redirect: /

Для эксплуатации используется заголовок X-Middleware-Subrequest:

X-Middleware-Subrequest: src/middleware:nowaf:...:pages/_middleware

➡️ Затронутые версии:

➖Next.js 15.x < 15.2.3,
➖Next.js 14.x < 14.2.2,
➖Next.js 13.x < 13.5.9.

P. S. Выявленная проблема в Next.js показала, что реализация аутентификации и других критических механизмов в слое middleware может быть ненадёжной, особенно если она опирается на поведение, которое можно обойти через определённые HTTP-заголовки.

#техники #CVE

Подготовил для вас самый большой на данный момент гайд по тестированию CMS Bitrix. 😈

➡️Причем, в статье я не только показал все существующие на данный момент известные методы и техники поиска уязвимостей в битриксе, но и поделился своими уникальными наработками. Включая атаки на кастомные модули и анонс собственного сканера под CMS Bitrix.

➡️Также добавил материалы по структуре модулей и матчасть по самому Битриксу. Даже если вы только знакомитесь с этой CMS, после прочтения точно что-нибудь найдете)🥤

Ссылка на статью

💫 @pentestnotes | #pentest #bitrix

🕷 На сайте VK Bug Bounty появилась новая функция — личный кабинет

Теперь каждый участник программы VK может отслеживать:

🔵Количество сданных отчетов
🔵Накопленный бонус Bounty Pass
🔵Срок действия бонуса

#анонсы

🚀 Использование Eyeballer для анализа скриншотов

Наткнулись на большой скоуп в багбаунти и не можете раскидать найденные хосты по категориям? Eyeballer сделает это за вас и найдет интересные цели из огромного набора веб-хостов.

Продолжайте использовать свой любимый инструмент для создания скриншотов (EyeWitness, GoWitness или другой), а затем пропустите их через Eyeballer.

С помощью машинного обучения инструмент проанализирует скрины экрана и отсортирует по категориям, включая:

👀 Легаси страницы
👀 Страницы входа
👀 Кастомные HTTP-ответы 404
👀 Веб-приложения
👀 Припаркованные домены

Попробуйте прямо сейчас 👉 GitHub

#техники #разведка

🕷 Автоматизируем фаззинг с ffufai

Если вы активно используете ffuf для фаззинга директорий и файлов, попробуйте ИИ-помощник ffufai для автоматизации процесса.

➡️ Что умеет:

⭕️ Анализирует URL и заголовки
⭕️ Предлагает релевантные расширения для фаззинга на основе ИИ (GPT или Claude)
⭕️ Экономит время на подбор расширений и помогает находить скрытые точки входа

Инструмент полностью совместим с ffuf и работает с привычными параметрами — ничего не нужно менять в вашем воркфлоу.

👉 Попробуйте на следующем багбаунти-проекте

#инструменты #разведка

🕷 Эксплуатация Vary в дикой природе

Заголовок HTTP-ответа Vary указывает, какие части запроса нужно учитывать при создании ключа кэша. Это помогает предотвратить атаки вроде cache poisoning.

В некоторых кейсах значения заголовка Vary могут указывать, доверяет ли приложение пользовательскому вводу или отражает его в ответе.

➡️ Начальный запрос:

GET / HTTP/1.1  
Host: redacted.com

➡️ Ответ сервера:

HTTP/1.1 200 OK  
Server: Apache/2.4.37  
Vary: X-Forwarded-Host, Origin  
Content-type: text/html; charset=utf-8  
Connection: close  
Content-Length: 11512

Как видно, в ответе есть заголовок Vary, в котором указаны X-Forwarded-Host и Origin. Используем эту информацию, чтобы проверить, доверяет ли приложение пользовательскому вводу:

GET / HTTP/1.1  
Host: redacted.com  
X-Forwarded-Host: example.com

➡️ Ответ сервера:

HTTP/1.1 200 OK  
Server: Apache/2.4.37  
Vary: X-Forwarded-Host, Origin  
Content-type: text/html; charset=utf-8  
Connection: close  
Content-Length: 11509

<!DOCTYPE html>
<html>
...
<script src="https://example.com/assets/js/vendor/jquery-ui.custom.min.js"></script>
...
</html>

Что это значит? Сервер доверяет X-Forwarded-Host — он напрямую попадает в HTML. Это открывает возможность использовать X-Forwarded-Host для поиска аномального поведения.

Если в некоторых ответах X-Forwarded-Host используется без добавления в Vary, то кэш можно потенциально отравить.

Это может привести:

— К SSRF, если заголовок прокидывается внутрь backend-запросов.
— Отравлению кэша, если Vary не всегда прописан или используется неправильно.
— Desync-атакам, особенно в сочетании с другими отражёнными заголовками.

#техники

🕷 Поиск и эксплуатация SSRF: пошаговый гайд

Когда сервер сам начинает ходить по адресам, которые вы ему подсовываете — это и есть Server-Side Request Forgery.

⬆️Вот как выжать из этого максимум:

1️⃣Найдите точки входа. Ищите, где приложение делает запросы: предпросмотр ссылок, загрузка/выгрузка файлов, вебхуки, PDF-генерация и т. д.

Если обрабатывается HTML — можно внедрить вредоносный URL и заставить сервер сходить за вашим пэйлоадом.

2️⃣Анализируйте ошибки. Отправляйте некорректные URL и смотрите на ответы: Connection refused, Invalid hostname, коды 4xx/5xx. Это поможет понять, делает ли сервер внешние запросы.

3️⃣Нацеливайтесь на внутренние ресурсы: пробуйте IP из приватных диапазонов: 127.0.0.1, 10.x.x.x, 192.168.x.x.

Там могут быть админки, dev-сервисы, внутренние API. И да, не забывайте про сканирование портов.

4️⃣Изучите metadata-сервисы. В облачных окружениях можно получить доступ к чувствительным данным:

🔘AWS: http://169.254.169.254/latest/meta-data
🔘Azure: http://169.254.169.254/metadata/instance

Там часто хранятся токены, ключи и данные об окружении.

5️⃣Обходите фильтры и WAF. Если приложение фильтрует IP или схемы, пробуйте обойти:

🔘http://127%2E0%2E0%2E1
🔘http://2130706433
🔘http://[::]:80
🔘или редиректы через внешние серверы.

6️⃣Проверяйте blind SSRF. Даже без видимого ответа можно получить данные через OOB-каналы:

🔘Burp Collaborator
🔘webhook.site

Blind SSRF отлично работает в связке с DNS или HTTP-логами.

#техники

🕷️ В программе VK Bug Bounty громкие апдейты

В программу добавлены «Сервисы Знакомств VK», куда войдут два приложения:

💜 VK Знакомства
💜 ОК Знакомства

Максимальное вознаграждение — 1 млн рублей.

👉 Описание программы

#новости

🕷️ Использование Burp для обхода скрытых полей HTML-формы

Скрытые поля HTML-формы — распространённый механизм передачи данных от клиента в немодифицированном виде. Если поле помечено как скрытое, оно не отображается на клиентской стороне.

Тем не менее, имя и значение этого поля сохраняются в форме и отправляются на сервер.

Для перехвата и модификации таких форм используйте Burp Proxy:

✅Unhide hidden form fields
✅Prominently highlight unhidden fields

В примере описано, как эта фича потенциально могла автоматически изменить ответ и отобразить скрытые поля. Как следствие, обойти контроль на стороне клиента в e-commerce приложении, изменить цену товара и приобрести его по сниженной цене.  

#советы

🚀 Использование Burp Bambdas для выполнения скриншотов экрана

Вы, возможно, слышали о Lambdas. Но слышали ли вы о Bambdas? Это фича Burp Suite для кастомизации непосредственно из UI с использованием небольших сниппетов Java.

Martin Doyhenard из PortSwigger набросал простой экшн для того, чтобы сделать жизнь багхантера проще. Он делает скрины и добавляет к ним комментарии, не выходя из Burp.

👉 Загрузите с GitHub или импортируйте напрямую в Bambda

#инструменты

🕷 Свежий взгляд на поиск секретов в Git-репозиториях

Даже если вы удалили секреты из репозитория командой git rm, его данные могут оставаться в истории, пока не будет запущена сборка мусора — git gc. Многие публичные репозитории хранят в .git/objects удалённые данные, и их можно восстановить.

Исследователь заработал на методологии поиска секретов круглую сумму, а мы делимся с вами упрощенным гайдом⬇️

✅Клонируем целевой репозиторий
✅Выводим все Git-объекты (например, с помощью git rev-list --objects --all), чтобы найти «висячие» блобы и восстановленные файлы
✅Ищем секреты в удалённых коммитах, осиротевших ветках и stash-контенте

mkdir -p unreachable_blobs && git fsck --unreachable --dangling --no-reflogs --full - | grep 'unreachable blob' | awk '{print $3}' | while read h; do git cat-file -p "$h" > "unreachable_blobs/$h.blob"; done

❗️ Целевые типы файлов:

▪️Сертификаты и ключи (id_rsa, .pem, .crt, ...)
▪️Дампы баз данных (db, .sqlite, .bak, ...)
▪️Архивы и конфиги
▪️Компилированные файлы вроде .pyc, которые тоже могут содержать много интересного

⚙️ Использованные инструменты:

▪️file — определение типов файлов
▪️binwalk — извлечение встроенных данных из бинарников
▪️trufflehog — обнаружение и проверка утечек (API-ключи, токены и т. д.)
▪️strings, grep, xz, hexdump — ручной анализ содержимого

Большинство полезных данных можно восстановить из бинарных файлов, которые были загружены в репозиторий и затем удалены без очистки истории. Поэтому помните:

▪️Git-объекты не удаляются до тех пор, пока не будет выполнен git gc
▪️Публичные репозитории открывают всю историю
▪️Простое удаление файла не стирает его данные из .git/objects

❗️ Частые ошибки, приводящие к утечкам:

▪️Коммит секретов и их последующее удаление без отзыва ключей
▪️Удаление через GitHub UI или git rm без понимания, что Git сохраняет старые данные
▪️Игнорирование того, что теги, форки и ссылки на коммиты могут сохранять чувствительные данные

#кейсы