🕷 Эксплуатация Vary в дикой природе

Заголовок HTTP-ответа Vary указывает, какие части запроса нужно учитывать при создании ключа кэша. Это помогает предотвратить атаки вроде cache poisoning.

В некоторых кейсах значения заголовка Vary могут указывать, доверяет ли приложение пользовательскому вводу или отражает его в ответе.

➡️ Начальный запрос:

GET / HTTP/1.1  
Host: redacted.com

➡️ Ответ сервера:

HTTP/1.1 200 OK  
Server: Apache/2.4.37  
Vary: X-Forwarded-Host, Origin  
Content-type: text/html; charset=utf-8  
Connection: close  
Content-Length: 11512

Как видно, в ответе есть заголовок Vary, в котором указаны X-Forwarded-Host и Origin. Используем эту информацию, чтобы проверить, доверяет ли приложение пользовательскому вводу:

GET / HTTP/1.1  
Host: redacted.com  
X-Forwarded-Host: example.com

➡️ Ответ сервера:

HTTP/1.1 200 OK  
Server: Apache/2.4.37  
Vary: X-Forwarded-Host, Origin  
Content-type: text/html; charset=utf-8  
Connection: close  
Content-Length: 11509

<!DOCTYPE html>
<html>
...
<script src="https://example.com/assets/js/vendor/jquery-ui.custom.min.js"></script>
...
</html>

Что это значит? Сервер доверяет X-Forwarded-Host — он напрямую попадает в HTML. Это открывает возможность использовать X-Forwarded-Host для поиска аномального поведения.

Если в некоторых ответах X-Forwarded-Host используется без добавления в Vary, то кэш можно потенциально отравить.

Это может привести:

— К SSRF, если заголовок прокидывается внутрь backend-запросов.
— Отравлению кэша, если Vary не всегда прописан или используется неправильно.
— Desync-атакам, особенно в сочетании с другими отражёнными заголовками.

#техники

🕷 Поиск и эксплуатация SSRF: пошаговый гайд

Когда сервер сам начинает ходить по адресам, которые вы ему подсовываете — это и есть Server-Side Request Forgery.

⬆️Вот как выжать из этого максимум:

1️⃣Найдите точки входа. Ищите, где приложение делает запросы: предпросмотр ссылок, загрузка/выгрузка файлов, вебхуки, PDF-генерация и т. д.

Если обрабатывается HTML — можно внедрить вредоносный URL и заставить сервер сходить за вашим пэйлоадом.

2️⃣Анализируйте ошибки. Отправляйте некорректные URL и смотрите на ответы: Connection refused, Invalid hostname, коды 4xx/5xx. Это поможет понять, делает ли сервер внешние запросы.

3️⃣Нацеливайтесь на внутренние ресурсы: пробуйте IP из приватных диапазонов: 127.0.0.1, 10.x.x.x, 192.168.x.x.

Там могут быть админки, dev-сервисы, внутренние API. И да, не забывайте про сканирование портов.

4️⃣Изучите metadata-сервисы. В облачных окружениях можно получить доступ к чувствительным данным:

🔘AWS: http://169.254.169.254/latest/meta-data
🔘Azure: http://169.254.169.254/metadata/instance

Там часто хранятся токены, ключи и данные об окружении.

5️⃣Обходите фильтры и WAF. Если приложение фильтрует IP или схемы, пробуйте обойти:

🔘http://127%2E0%2E0%2E1
🔘http://2130706433
🔘http://[::]:80
🔘или редиректы через внешние серверы.

6️⃣Проверяйте blind SSRF. Даже без видимого ответа можно получить данные через OOB-каналы:

🔘Burp Collaborator
🔘webhook.site

Blind SSRF отлично работает в связке с DNS или HTTP-логами.

#техники

🕷️ В программе VK Bug Bounty громкие апдейты

В программу добавлены «Сервисы Знакомств VK», куда войдут два приложения:

💜 VK Знакомства
💜 ОК Знакомства

Максимальное вознаграждение — 1 млн рублей.

👉 Описание программы

#новости

🕷️ Использование Burp для обхода скрытых полей HTML-формы

Скрытые поля HTML-формы — распространённый механизм передачи данных от клиента в немодифицированном виде. Если поле помечено как скрытое, оно не отображается на клиентской стороне.

Тем не менее, имя и значение этого поля сохраняются в форме и отправляются на сервер.

Для перехвата и модификации таких форм используйте Burp Proxy:

✅Unhide hidden form fields
✅Prominently highlight unhidden fields

В примере описано, как эта фича потенциально могла автоматически изменить ответ и отобразить скрытые поля. Как следствие, обойти контроль на стороне клиента в e-commerce приложении, изменить цену товара и приобрести его по сниженной цене.  

#советы

🚀 Использование Burp Bambdas для выполнения скриншотов экрана

Вы, возможно, слышали о Lambdas. Но слышали ли вы о Bambdas? Это фича Burp Suite для кастомизации непосредственно из UI с использованием небольших сниппетов Java.

Martin Doyhenard из PortSwigger набросал простой экшн для того, чтобы сделать жизнь багхантера проще. Он делает скрины и добавляет к ним комментарии, не выходя из Burp.

👉 Загрузите с GitHub или импортируйте напрямую в Bambda

#инструменты

🕷 Свежий взгляд на поиск секретов в Git-репозиториях

Даже если вы удалили секреты из репозитория командой git rm, его данные могут оставаться в истории, пока не будет запущена сборка мусора — git gc. Многие публичные репозитории хранят в .git/objects удалённые данные, и их можно восстановить.

Исследователь заработал на методологии поиска секретов круглую сумму, а мы делимся с вами упрощенным гайдом⬇️

✅Клонируем целевой репозиторий
✅Выводим все Git-объекты (например, с помощью git rev-list --objects --all), чтобы найти «висячие» блобы и восстановленные файлы
✅Ищем секреты в удалённых коммитах, осиротевших ветках и stash-контенте

mkdir -p unreachable_blobs && git fsck --unreachable --dangling --no-reflogs --full - | grep 'unreachable blob' | awk '{print $3}' | while read h; do git cat-file -p "$h" > "unreachable_blobs/$h.blob"; done

❗️ Целевые типы файлов:

▪️Сертификаты и ключи (id_rsa, .pem, .crt, ...)
▪️Дампы баз данных (db, .sqlite, .bak, ...)
▪️Архивы и конфиги
▪️Компилированные файлы вроде .pyc, которые тоже могут содержать много интересного

⚙️ Использованные инструменты:

▪️file — определение типов файлов
▪️binwalk — извлечение встроенных данных из бинарников
▪️trufflehog — обнаружение и проверка утечек (API-ключи, токены и т. д.)
▪️strings, grep, xz, hexdump — ручной анализ содержимого

Большинство полезных данных можно восстановить из бинарных файлов, которые были загружены в репозиторий и затем удалены без очистки истории. Поэтому помните:

▪️Git-объекты не удаляются до тех пор, пока не будет выполнен git gc
▪️Публичные репозитории открывают всю историю
▪️Простое удаление файла не стирает его данные из .git/objects

❗️ Частые ошибки, приводящие к утечкам:

▪️Коммит секретов и их последующее удаление без отзыва ключей
▪️Удаление через GitHub UI или git rm без понимания, что Git сохраняет старые данные
▪️Игнорирование того, что теги, форки и ссылки на коммиты могут сохранять чувствительные данные

#кейсы

Хотите попрактиковаться в навыке подбора джейлбрейков для взлома AI? С 5 мая до 1 июля проводится соревнование для подбора промпт-атак Hackaprompt 2.0. 30 мая открывается трек по тестированию агентных систем на стойкость к атакам.

Кто взломает больше агентов? 🚀

🕷 Как найти и проэксплуатировать Blind XSS

Blind XSS отличается тем, что вредоносный скрипт выполняется в компонентах, недоступных атакующему — например, во внутренней админке или панели поддержки, доступной только админу/сотрудникам.

Зачастую для срабатывания пэйлоада нужен пользователь с «другими» привилегиями. И да, обычный alert() тут не поможет. Примеры пэйлоада ☝️

🧰 Инструменты для поиска и эксплуатации blind XSS

Чтобы поймать «отстук» от внедренного пэйлоада, потребуется внешний контролируемый эндпоинт, который будет слушать и обрабатывать обратные вызовы.

Использовать готовые инструменты (Burp Collaborator, requestbin) или развернуть на своем сервере (ezXSS, XSSHunter) — дело ваше. Последний можно поднять за пару минут:

$ docker-compose up -d postgresdb
$ docker-compose up xsshunterexpress

🔍 Где искать blind XSS?

▪️Формы обратной связи (особенно когда компания не полагается на сторонних вендоров для этой функции)

▪️Аналитические системы (UTM параметры, referrer, заголовки запроса)

▪️Блоги и справочная документация (логирование поисковых запросов)

▪️Сообщения об ошибках и исключениях (URL, заголовки, cookies)

▪️Счета и накладные (поля адреса, имя плательщика)

💡 Всегда вставляйте в пэйлоад уникальную строку или ключевое слово — так потом проще будет понять, откуда пришел запрос и что именно сработало.

💡 Попробуйте намеренно вызвать исключение или ошибку и внедрить пэйлоад в любое возможное поле, которое может быть проанализировано и обработано позже (URL, User-Agent, файлы cookie, username/email, заголовок X-Forwarded-For и другие).

👉 Погрузиться подробнее:

🔗 Статья «Слепая простота» от Луки Сафонова
🔗 Гайд от Intigriti + настройка XSSHunter

#советы #инструменты

🕷 Запутались в десятках вкладок Burp Repeater во время поиска багов?

Сгруппируйте их по смыслу и вернитесь позже — с чистой головой и новыми идеями 💡

#советы #инструменты

🤔 Чтобы находить криты, важно мыслить как бизнес

1️⃣ Каждое приложение имеет свой «сундук с сокровищами». У телекомов — номера телефонов. У SaaS — данные тенанта.

Понимая, что для компании критично, вы можете бить туда, где больно.

2️⃣ Баги часто рождаются не в фичах, а в пересечениях. Например: «инвайт пользователя» + «автоназначение роли админа» = повышение привилегий.

Смотрите на флоу в связке, а не поодиночке.

3️⃣ Задавайте себе вопросы как атакующий:

— А если отложить вызов?
— А если пропустить шаг?
— А если скомбинировать два эндпоинта?

Создавайте истории атак, а не просто чек-лист с OWASP.

4️⃣ Перед тем как тыкать кавычки — спланируйте атаку:

— Обход аутентификации?
— Повторное использование токена?
— Путаница сессий?
— ...

5️⃣ Тыкать наобум ≠ тестировать, поэтому верифицируйте свои гипотезы последовательно.

Контекст + упорство дают результат.

#советы

🕷 Фаззинг в багбаунти: как с Burp Suite, только через CLI

Многие используют популярный инструмент ffuf для веб-фаззинга, но знаете ли вы о его ограничениях? Он использует Go-библиотеки net/http и net/url, которые не позволяют добиться фаззинга сырых запросов.

Из-за этого запросы могут искажаться, заголовки переупорядочиваться, а нестандартные конструкции не отправляться точно так, как нужно — особенно когда речь идет об обходе WAF.

💡 Решение — использовать форк ffuf под названием uff, который приносит в CLI всю мощь фаззинга и поддерживает:

#️⃣Основные флаги и возможности ffuf

#️⃣Фаззинг сырых запросов и абсолютного URI: как в Burp Suite или Caido

#️⃣Точные HTTP-заголовки: никаких изменений, можно даже с пробелами или без двоеточия — идеально для cache poisoning и request smuggling

#️⃣-request: отправка запросов из файла, без изменения порядка заголовков, пропущенных некорректных битов и т. д.

#️⃣-no-content-length: полный контроль над телом запроса, что помогает ловить странное поведение серверов

➡️Простой пример:

echo hi | uff -c -u http://example.com -w - -opaque "http://127.0.0.1/FUZZ"

👇

GET http://127.0.0.1/hi HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/136.0.0.0 Safari/537.36
Accept-Encoding: gzip

P. S. Uff дает больше гибкости и точности в фаззинге, устраняя ограничения оригинального ffuf и адаптируясь к современным задачам. Он отлично подойдет для тестирования API, поиска скрытых эндпоинтов/параметров, экспериментов с нестандартными HTTP-запросами.

#техники #инструменты

🕷 PDF может быть… валидным JavaScript?

Некоторые библиотеки определяют тип файла, классифицируя его по магическим байтам — это подписи или последовательности байтов в начале файла, которые идентифицируют формат.

Так что если вы в следующий раз столкнетесь с ограничениями на загрузку файлов, байпасом CSP или эксплуатацией CSPT, просто попробуйте приведенный PDF.

👉 Погрузиться в тему подробнее

#техники #советы

🥠 Cookie Tossing: когда поддомен подбрасывает «левую» cookie

Cookie Tossing — малоизвестная, но серьёзная атака. Атакующий, контролирующий поддомен (например evil.example.com), устанавливает в браузере атакуемого cookie так, чтобы она применялась ко всему родительскому домену .example.com.

Когда атакуемый открывает account.example.com или любой другой поддомен, браузер автоматически отправляет поддельную cookie, и сервер может обработать именно её. Так можно, например, привязать OAuth-токен к учётной записи атакующего, сбросить настройки или подменить сессию.

📌Как это работает

Атака опирается на два параметра cookie:

* Domain определяет, на какие хосты отправляется cookie. Если указать Domain=example.com, она уйдёт на все поддомены.

* Path задаёт, к каким URL-ам применяется cookie. Более узкий путь (/settings/account) даёт ей приоритет над cookie с общим путём (/).

📌Как браузер выбирает cookie

Если в браузере есть две cookie с одинаковым именем, он включает обе в заголовок Cookie, а порядок определяется так:

1. Сначала идут cookie, чей Path точнее совпадает с путём запроса.

2. При одинаковом пути первой идёт более старая cookie.

Пример:

# cookie в браузере
session_cookie=<attacker>; Domain=example.com; Path=/settings/account
session_cookie=<victim>;   Domain=example.com; Path=/

# запрос к /settings/account
Cookie: session_cookie=<attacker>; session_cookie=<victim>

Большинство приложений используют первое значение, поэтому действие выполняется от имени атакующего.

📌Когда проверять на Cookie tossing

* У сайта есть поддомены, и на них можно внедрить пользовательский JS/HTML.

* Сессионная cookie выдаётся на весь домен (Domain=.example.com).

* Важные эндпоинты (/auth/callback, /settings/account, /billing) не защищены CSRF-токеном.

* Аутентификация основана только на cookie, без дополнительного заголовка или токена.

📌Как протестировать

1. Найдите XSS на поддомене.
2. Установите cookie с нужным Domain и «узким» Path:

document.cookie = "session_cookie=attacker_val; Domain=example.com; Path=/settings/account";

3. Если атакуемый переходит на account.example.com/settings/account и приложение выполняет действие в контексте атакующего либо подменяет сессию — уязвимость подтверждена.

Удачной охоты!

#техники #clientside

🧠 Kiterunner — API enumeration для тех, кто устал от 404

🎣 Знаете, что общего у классического ffuf и рыбалки без наживки? Ты вроде что-то делаешь, но ни черта не ловится, особенно если в приложении используется REST API.

Эту проблему решает инструмент Kiterunner от Assetnote, который не просто брутфорсит пути, а делает это с контекстом:

➡️Знает правильные HTTP-методы
➡️Знает, что /user/create работает только с POST
➡️Сам подставляет UUID, id-шники и даже нужные заголовки

💡Как он это делает?

Команда собрала ~67,500 Swagger файлов со всего интернета (даже с BigQuery и APIs.guru) и сделала на их основе датасеты роутов, которые можно использовать для сканирования.

📌 Пример

GET /download —> 404
GET /download/123456 —> 200 (файл!)

Или:

GET  /user/create —> 404
POST /user/create —> 500 (значит, эндпоинт жив)

📂 Вишенка на торте — можно реплеить запросы в Burp, чтобы изучить поведение вручную:

kr replay -w routes.kite --proxy http://localhost:8080 "POST ..."

#инструменты #api