Там это, с 1 февраля 2023 года закрывается xsshunter.
Ссылка на твит разраба: https://twitter.com/IAmMandatory/status/1587106717283721217
И пояснения от него же: https://docs.google.com/document/d/1HlkDOZhIxwgLWeFf4L8Vy3OIPAedeC3cMw0Jz4WORag/preview
Кто пользуется этим инструментом, рекомендую ознакомиться. Ну и озаботиться своим собственным доменом с прикрученным сертификатом(Let's Encrypt вроде еще без проблем выдает), на который можно будет делать редирект или поднять свой xsshunter с блэкджеком и шлюхами(https://github.com/mandatoryprogrammer/xsshunter-express)
Ну или может еще какие аналоги поискать.
#bb
Ссылка на твит разраба: https://twitter.com/IAmMandatory/status/1587106717283721217
И пояснения от него же: https://docs.google.com/document/d/1HlkDOZhIxwgLWeFf4L8Vy3OIPAedeC3cMw0Jz4WORag/preview
Кто пользуется этим инструментом, рекомендую ознакомиться. Ну и озаботиться своим собственным доменом с прикрученным сертификатом(Let's Encrypt вроде еще без проблем выдает), на который можно будет делать редирект или поднять свой xsshunter с блэкджеком и шлюхами(https://github.com/mandatoryprogrammer/xsshunter-express)
Ну или может еще какие аналоги поискать.
#bb
Часто встречаю мнение во всяких ИБ телегочатикаx, что на "старых" ББ программах профита не найти, все выпотрошено и вообще ну его нахуй. И подавайте нам свежий скоуп. Особенно ярко это проявилось, когда VKшечка только-только выкатила свои программы на стэндоффе365. Отчасти это конечно верно, но всегда есть нюанс.
Позапрошлым летом я решил поскрипткиддить на программах от Microsoft. И решил подготовить для вас серию коротких врайтапов, которые буду периодически постить. Ключевой идеей является то, что баги есть везде, порой на самом очевидном месте. И даже почтенный возраст ББ программы этому не помеха.
Посты будут сопровождаться скринами оригинального репорта с пруфами баунти.
Что ж, поехали.
Кейс №1
Я очень уважаю гуглдорки и сопутствующие сервисы типа waybackmachine. Идея простая, проходимся по интересующим нас доменам, собираем все, что содержит параметры в GET запросе, обрабатываем чем-нибудь массовым для профита. Например SQLmap(sqli), dalfox(xss), fuff(ssrf) и так далее. При желании можно вообще все это объединить в какой-нибудь темплейт для nuclei, который очень шустрый и гибкий. Но выбор инструментов дело сугубо личное, в зависимости от предпочтений.
Так и вышло с Case number 59881.
Скоуп *.sharepoint.com
Прошелся по гуглам доркам, собрал все в кучу, запихнул через плагин собранные url'ы c параметрами в burp через https://portswigger.net/bappstore/59a829852f914d5a9edb6dcc919dc4e5. В самом бурпе создал конфигурацию, чтобы сканер искал только XSS(хотел посмотреть, как будет работать, скорость, точность и так далее), обрезав все остальные типы сканирования и отрубив другие расширения и плагины.
Довольно быстро посыпались XSS'ки и стало понятно, что мы имеем дело с какой-то архитектурной ошибкой, которая приводит на пользовательских веб экземплярах sharepoint к уязвимости в строго определенном параметре.
Награда - 3k$
Ничего сложного, правда? И все на практически на виду, только протяни руку.
Добра.
#bb
Позапрошлым летом я решил поскрипткиддить на программах от Microsoft. И решил подготовить для вас серию коротких врайтапов, которые буду периодически постить. Ключевой идеей является то, что баги есть везде, порой на самом очевидном месте. И даже почтенный возраст ББ программы этому не помеха.
Посты будут сопровождаться скринами оригинального репорта с пруфами баунти.
Что ж, поехали.
Кейс №1
Я очень уважаю гуглдорки и сопутствующие сервисы типа waybackmachine. Идея простая, проходимся по интересующим нас доменам, собираем все, что содержит параметры в GET запросе, обрабатываем чем-нибудь массовым для профита. Например SQLmap(sqli), dalfox(xss), fuff(ssrf) и так далее. При желании можно вообще все это объединить в какой-нибудь темплейт для nuclei, который очень шустрый и гибкий. Но выбор инструментов дело сугубо личное, в зависимости от предпочтений.
Так и вышло с Case number 59881.
Скоуп *.sharepoint.com
Прошелся по гуглам доркам, собрал все в кучу, запихнул через плагин собранные url'ы c параметрами в burp через https://portswigger.net/bappstore/59a829852f914d5a9edb6dcc919dc4e5. В самом бурпе создал конфигурацию, чтобы сканер искал только XSS(хотел посмотреть, как будет работать, скорость, точность и так далее), обрезав все остальные типы сканирования и отрубив другие расширения и плагины.
Довольно быстро посыпались XSS'ки и стало понятно, что мы имеем дело с какой-то архитектурной ошибкой, которая приводит на пользовательских веб экземплярах sharepoint к уязвимости в строго определенном параметре.
Награда - 3k$
Ничего сложного, правда? И все на практически на виду, только протяни руку.
Добра.
#bb
На стендофф365 вышла новая программа
https://bugbounty.standoff365.com/programs/konsol
плюс из интересного projectdiscovery(у них много хороших инструментов, которые стоит взять на вооружение) релизнули новый краулер
Надо будет поиграться.
https://github.com/projectdiscovery/katana
#bb
https://bugbounty.standoff365.com/programs/konsol
плюс из интересного projectdiscovery(у них много хороших инструментов, которые стоит взять на вооружение) релизнули новый краулер
Надо будет поиграться.
https://github.com/projectdiscovery/katana
#bb
Forwarded from Standoff 365
⚡️ 3i Games, Lootdog и ESforce уже на платформе!
3i Games — команда, которая занимается издательством браузерных и HTML5-игр.
Lootdog.io — торговая площадка, где игроки продают и покупают внутриигровые предметы. Площадка помогает повысить вовлеченность игроков, обеспечивая при этом полную безопасность операций и защиту от фрода.
👀 Искать уязвимости в VK ↓
bugbounty.standoff365.com/vendors/vk
3i Games — команда, которая занимается издательством браузерных и HTML5-игр.
🔸 *.3igames.mail.ru за исключением делегированных и размещенных на внешнем хостинге доменов и фирменных партнерских сервисов.Lootdog.io — торговая площадка, где игроки продают и покупают внутриигровые предметы. Площадка помогает повысить вовлеченность игроков, обеспечивая при этом полную безопасность операций и защиту от фрода.
🔸 *.lootdog.io
ESforce Holding — одна из крупнейших киберспортивных организаций в мире и лидер российского компьютерного спорта.🔸 *.cybersport.ru и *.esforce.com
💸 Максимальная награда за уязвимости — 60 000 ₽ (в зависимости от уровня угрозы).👀 Искать уязвимости в VK ↓
bugbounty.standoff365.com/vendors/vk
Если кто не в курсе, появился такой тг канал, насколько я понял, от действующего сотрудника ptsecurity, который лично для меня знаком по h1 под ником circuit (https://hackerone.com/circuit)
Мне запомнился как "потрошитель qiwi" (так я окрестил его для cамого себя) - у него было много репортов именно по qiwi в окртытом доступе, которые было интерсно читать, и что-то перенять из них для собственной практики.
Не стесняется шарингом личного бб опыта(что я лично приветствую и по возможности стараюсь делать), берет интервью у кулхацкеров и все такое.
Так что присоединяйтесь, и надеюсь почерпнете для себя что-то новое.
https://t.me/zaheck
#bb
Мне запомнился как "потрошитель qiwi" (так я окрестил его для cамого себя) - у него было много репортов именно по qiwi в окртытом доступе, которые было интерсно читать, и что-то перенять из них для собственной практики.
Не стесняется шарингом личного бб опыта(что я лично приветствую и по возможности стараюсь делать), берет интервью у кулхацкеров и все такое.
Так что присоединяйтесь, и надеюсь почерпнете для себя что-то новое.
https://t.me/zaheck
#bb
HackerOne
HackerOne profile - circuit
Я использую Яндекс.Деньги -
x8 - шустрый аналог Arjun и Param Miner.
Определенно мастхев.
Можно интегрировать в Burp Suite + плюс есть релиз под винду(хе-хе)
Более подробно можно почитать тут https://t.me/postImpact/16
https://github.com/Sh1Yo/x8
#bb
Определенно мастхев.
Можно интегрировать в Burp Suite + плюс есть релиз под винду(хе-хе)
Более подробно можно почитать тут https://t.me/postImpact/16
https://github.com/Sh1Yo/x8
#bb
Продолжаю публикацию некоторых моих репортов по ББ от мелкомягких, основной посыл в которых в том, что баги есть везде, порой в самых очевидных местах. Начало тут -> https://t.me/ScriptKiddieNotes/157
Кейс №2
Помню, была ебучая жара, и на съемной квартире не было кондиционера. Плюс мучила прокрастинация, потому что я давно не запускал burp suite.
Так было лениво искать баги, обливаясь потом, но я пересилил себя и зашел в свой личный аккаунт на https://ORGNAME.sharepoint.com/
И знаете что? Ты просто идешь в свой профиль, грузишь SVG файл с xss нагрузкой, и xss отрабатывает в контексте твоей орги, а, не как часто бывает, какого-то cdn ресурса.
С покерфейсом репортнул, конечно.
скрипткидди vs кулхацкеры 2:0
Банути - 3k$
Cпасибо посонам из Редмонда, что не заставили меня долго потеть, и позволили переключиться на что-то более полезное и осознанное - а именно на фарм мобов на пиратском сервере la2, ха-ха.
(Ну если вдруг кто совсем не въехал, это как зайти в свой профиль vk.com, грузануть svg файл с xss нагрузкой в свой аватар на главной, которая отработает в контексте именно vk.сom)
#bb
Кейс №2
Помню, была ебучая жара, и на съемной квартире не было кондиционера. Плюс мучила прокрастинация, потому что я давно не запускал burp suite.
Так было лениво искать баги, обливаясь потом, но я пересилил себя и зашел в свой личный аккаунт на https://ORGNAME.sharepoint.com/
И знаете что? Ты просто идешь в свой профиль, грузишь SVG файл с xss нагрузкой, и xss отрабатывает в контексте твоей орги, а, не как часто бывает, какого-то cdn ресурса.
С покерфейсом репортнул, конечно.
скрипткидди vs кулхацкеры 2:0
Банути - 3k$
Cпасибо посонам из Редмонда, что не заставили меня долго потеть, и позволили переключиться на что-то более полезное и осознанное - а именно на фарм мобов на пиратском сервере la2, ха-ха.
(Ну если вдруг кто совсем не въехал, это как зайти в свой профиль vk.com, грузануть svg файл с xss нагрузкой в свой аватар на главной, которая отработает в контексте именно vk.сom)
#bb
This media is not supported in your browser
VIEW IN TELEGRAM
at first i was like:
Cannot validate [SELECT * FROM vks.android_app WHERE package = ?]
but then:
org.apache.cassandra.exceptions.InvalidRequestException
:(
#bb
Cannot validate [SELECT * FROM vks.android_app WHERE package = ?]
but then:
org.apache.cassandra.exceptions.InvalidRequestException
:(
#bb
Для желающих по быстренькому срубить 10 лямов теперь есть такая возможность :3
https://t.me/TheStandoffNews/1143
#bb
https://t.me/TheStandoffNews/1143
#bb
Telegram
STANDOFF NEWS
Positive Technologies впервые в России объявила о запуске программы bug bounty нового типа, которая ориентирована не на поиск сугубо технических уязвимостей во внешних сервисах компании, а на реализацию действительно критичного для компании события — хищения…
Пилю прохладную про Яндекс.
Околоббшное.
Полгода назад купил телек и прикрутил к нему ебучий онлайн-кинотеатр.
Телек оказался с заводским браком, обменял на другую модель, прикрутил и к нему онлайн-кинотеатр.
Недавно зашел в раздел "Мое" https://hd.kinopoisk.ru/personal и увидел, что какой чел смотрит кринжовые сериалы с моего аккаунта.
Ну, мы не пальцем деланные, какеры все-таки, идем в настройки, смотрим, ага, "Управление подпиской". Отвязываем старый привязанный девайс -> https://plus.yandex.ru/my
Логично, вроде, да?
Я успокаиваюсь(еще бы, какой-то хуй сидит и смотрит за мои бабки говенные сериалы про мусоров, а не аниме) на какое-то время, потом снова захожу в историю просмотров и вижу, что все продолжается.
Напрягаюсь, думаю, бля, может почту ломанули, хуй его знает, меняю пароли(хотя в истории активности чисто) еще раз чекаю что из привязанных девайсов только телек и мой телефон.
Нихуя, чел продолжает наслаждаться контентом.
В итоге, оказалось, что удаление девайсов через ебучий https://plus.yandex.ru/my не оказывет импакта, и эмпирическим путем было понято, что надо идти еще в кинопоиск(где ебучие дегенераты постят свои охуительные рецензии - как-будто кому не похуй и кто-то будет читать их графоманию) -> https://www.kinopoisk.ru/mykp/edit_main/
Какие выводы можно сделать?
Да хуй его знает, тут можно было бы завернуть про всякие эндпоинты и их влияние на функционал приложения, что мол всегда чекайте /v1/, /v2/, с телефончика еще, поменяйте блять GET на POST, ну или вообще еще на PUT, там, все надо тестировать же.
Но я ограничусь тем, что нахуй кинопоиск - лучше буду по старинке смотреть пиратки, ибо в душе я старый морской волк.
Потреблядство приводит к баттхерту)0)0
Добра :3
#bb
Околоббшное.
Полгода назад купил телек и прикрутил к нему ебучий онлайн-кинотеатр.
Телек оказался с заводским браком, обменял на другую модель, прикрутил и к нему онлайн-кинотеатр.
Недавно зашел в раздел "Мое" https://hd.kinopoisk.ru/personal и увидел, что какой чел смотрит кринжовые сериалы с моего аккаунта.
Ну, мы не пальцем деланные, какеры все-таки, идем в настройки, смотрим, ага, "Управление подпиской". Отвязываем старый привязанный девайс -> https://plus.yandex.ru/my
Логично, вроде, да?
Я успокаиваюсь(еще бы, какой-то хуй сидит и смотрит за мои бабки говенные сериалы про мусоров, а не аниме) на какое-то время, потом снова захожу в историю просмотров и вижу, что все продолжается.
Напрягаюсь, думаю, бля, может почту ломанули, хуй его знает, меняю пароли(хотя в истории активности чисто) еще раз чекаю что из привязанных девайсов только телек и мой телефон.
Нихуя, чел продолжает наслаждаться контентом.
В итоге, оказалось, что удаление девайсов через ебучий https://plus.yandex.ru/my не оказывет импакта, и эмпирическим путем было понято, что надо идти еще в кинопоиск(где ебучие дегенераты постят свои охуительные рецензии - как-будто кому не похуй и кто-то будет читать их графоманию) -> https://www.kinopoisk.ru/mykp/edit_main/
Какие выводы можно сделать?
Да хуй его знает, тут можно было бы завернуть про всякие эндпоинты и их влияние на функционал приложения, что мол всегда чекайте /v1/, /v2/, с телефончика еще, поменяйте блять GET на POST, ну или вообще еще на PUT, там, все надо тестировать же.
Но я ограничусь тем, что нахуй кинопоиск - лучше буду по старинке смотреть пиратки, ибо в душе я старый морской волк.
Потреблядство приводит к баттхерту)0)0
Добра :3
#bb
На https://github.com/features/code-search/ можно присоединиться к бета-тесту обновленного поискового синтаксиса по гитхабу.
Запилены полноценные регулярные выражения, что делает для багхантеров поиск всяких интересный штук, типа захардкорженных кредов/интересных эндпоинтов и так далее более гибким. Так что теперь можно прокачать и вывести на новый уровень старые добрые гитхабдорки.
#bb
Запилены полноценные регулярные выражения, что делает для багхантеров поиск всяких интересный штук, типа захардкорженных кредов/интересных эндпоинтов и так далее более гибким. Так что теперь можно прокачать и вывести на новый уровень старые добрые гитхабдорки.
#bb
https://t.me/bizone_bb/18
BI.ZONE кажись присоединяется к чаду кутежа и дичайшему угару, например, и начинает выпускать публичные программы.
#bb
BI.ZONE кажись присоединяется к чаду кутежа и дичайшему угару, например, и начинает выпускать публичные программы.
#bb
Telegram
BI.ZONE Bug Bounty
🪲 Продать гараж на «Авито»? А заодно... получить выплату за баги!
Крупнейшая в России платформа частных объявлений «Авито» присоединилась к нашей платформе BI.ZONE Bug Bounty.
Искать уязвимости можно во всех доступных приложениях и сервисах в диапазоне…
Крупнейшая в России платформа частных объявлений «Авито» присоединилась к нашей платформе BI.ZONE Bug Bounty.
Искать уязвимости можно во всех доступных приложениях и сервисах в диапазоне…
Прилетела приватка с BI.ZONE.
Репортнул, триагнули, оплатили. И все за пару часов.
Вот это понимаю, скорость.
Господам с VK/OK стоит перенять этот положительный опыт.
А то прохладные истории про то, как Вася Пупкин получает таск в jirа и с лицом грустной лягушки идет фиксить, и поэтому нельзя сразу выплачивать баунти/переводить на счет скрипткидисса в площадке-агрегаторе - немного смущают.
#bb
Репортнул, триагнули, оплатили. И все за пару часов.
Вот это понимаю, скорость.
Господам с VK/OK стоит перенять этот положительный опыт.
А то прохладные истории про то, как Вася Пупкин получает таск в jirа и с лицом грустной лягушки идет фиксить, и поэтому нельзя сразу выплачивать баунти/переводить на счет скрипткидисса в площадке-агрегаторе - немного смущают.
#bb