Forwarded from Standoff 365
⚡️ 3i Games, Lootdog и ESforce уже на платформе!
3i Games — команда, которая занимается издательством браузерных и HTML5-игр.
Lootdog.io — торговая площадка, где игроки продают и покупают внутриигровые предметы. Площадка помогает повысить вовлеченность игроков, обеспечивая при этом полную безопасность операций и защиту от фрода.
👀 Искать уязвимости в VK ↓
bugbounty.standoff365.com/vendors/vk
3i Games — команда, которая занимается издательством браузерных и HTML5-игр.
🔸 *.3igames.mail.ru за исключением делегированных и размещенных на внешнем хостинге доменов и фирменных партнерских сервисов.Lootdog.io — торговая площадка, где игроки продают и покупают внутриигровые предметы. Площадка помогает повысить вовлеченность игроков, обеспечивая при этом полную безопасность операций и защиту от фрода.
🔸 *.lootdog.io
ESforce Holding — одна из крупнейших киберспортивных организаций в мире и лидер российского компьютерного спорта.🔸 *.cybersport.ru и *.esforce.com
💸 Максимальная награда за уязвимости — 60 000 ₽ (в зависимости от уровня угрозы).👀 Искать уязвимости в VK ↓
bugbounty.standoff365.com/vendors/vk
Если кто не в курсе, появился такой тг канал, насколько я понял, от действующего сотрудника ptsecurity, который лично для меня знаком по h1 под ником circuit (https://hackerone.com/circuit)
Мне запомнился как "потрошитель qiwi" (так я окрестил его для cамого себя) - у него было много репортов именно по qiwi в окртытом доступе, которые было интерсно читать, и что-то перенять из них для собственной практики.
Не стесняется шарингом личного бб опыта(что я лично приветствую и по возможности стараюсь делать), берет интервью у кулхацкеров и все такое.
Так что присоединяйтесь, и надеюсь почерпнете для себя что-то новое.
https://t.me/zaheck
#bb
Мне запомнился как "потрошитель qiwi" (так я окрестил его для cамого себя) - у него было много репортов именно по qiwi в окртытом доступе, которые было интерсно читать, и что-то перенять из них для собственной практики.
Не стесняется шарингом личного бб опыта(что я лично приветствую и по возможности стараюсь делать), берет интервью у кулхацкеров и все такое.
Так что присоединяйтесь, и надеюсь почерпнете для себя что-то новое.
https://t.me/zaheck
#bb
HackerOne
HackerOne profile - circuit
Я использую Яндекс.Деньги -
x8 - шустрый аналог Arjun и Param Miner.
Определенно мастхев.
Можно интегрировать в Burp Suite + плюс есть релиз под винду(хе-хе)
Более подробно можно почитать тут https://t.me/postImpact/16
https://github.com/Sh1Yo/x8
#bb
Определенно мастхев.
Можно интегрировать в Burp Suite + плюс есть релиз под винду(хе-хе)
Более подробно можно почитать тут https://t.me/postImpact/16
https://github.com/Sh1Yo/x8
#bb
Продолжаю публикацию некоторых моих репортов по ББ от мелкомягких, основной посыл в которых в том, что баги есть везде, порой в самых очевидных местах. Начало тут -> https://t.me/ScriptKiddieNotes/157
Кейс №2
Помню, была ебучая жара, и на съемной квартире не было кондиционера. Плюс мучила прокрастинация, потому что я давно не запускал burp suite.
Так было лениво искать баги, обливаясь потом, но я пересилил себя и зашел в свой личный аккаунт на https://ORGNAME.sharepoint.com/
И знаете что? Ты просто идешь в свой профиль, грузишь SVG файл с xss нагрузкой, и xss отрабатывает в контексте твоей орги, а, не как часто бывает, какого-то cdn ресурса.
С покерфейсом репортнул, конечно.
скрипткидди vs кулхацкеры 2:0
Банути - 3k$
Cпасибо посонам из Редмонда, что не заставили меня долго потеть, и позволили переключиться на что-то более полезное и осознанное - а именно на фарм мобов на пиратском сервере la2, ха-ха.
(Ну если вдруг кто совсем не въехал, это как зайти в свой профиль vk.com, грузануть svg файл с xss нагрузкой в свой аватар на главной, которая отработает в контексте именно vk.сom)
#bb
Кейс №2
Помню, была ебучая жара, и на съемной квартире не было кондиционера. Плюс мучила прокрастинация, потому что я давно не запускал burp suite.
Так было лениво искать баги, обливаясь потом, но я пересилил себя и зашел в свой личный аккаунт на https://ORGNAME.sharepoint.com/
И знаете что? Ты просто идешь в свой профиль, грузишь SVG файл с xss нагрузкой, и xss отрабатывает в контексте твоей орги, а, не как часто бывает, какого-то cdn ресурса.
С покерфейсом репортнул, конечно.
скрипткидди vs кулхацкеры 2:0
Банути - 3k$
Cпасибо посонам из Редмонда, что не заставили меня долго потеть, и позволили переключиться на что-то более полезное и осознанное - а именно на фарм мобов на пиратском сервере la2, ха-ха.
(Ну если вдруг кто совсем не въехал, это как зайти в свой профиль vk.com, грузануть svg файл с xss нагрузкой в свой аватар на главной, которая отработает в контексте именно vk.сom)
#bb
This media is not supported in your browser
VIEW IN TELEGRAM
at first i was like:
Cannot validate [SELECT * FROM vks.android_app WHERE package = ?]
but then:
org.apache.cassandra.exceptions.InvalidRequestException
:(
#bb
Cannot validate [SELECT * FROM vks.android_app WHERE package = ?]
but then:
org.apache.cassandra.exceptions.InvalidRequestException
:(
#bb
Для желающих по быстренькому срубить 10 лямов теперь есть такая возможность :3
https://t.me/TheStandoffNews/1143
#bb
https://t.me/TheStandoffNews/1143
#bb
Telegram
STANDOFF NEWS
Positive Technologies впервые в России объявила о запуске программы bug bounty нового типа, которая ориентирована не на поиск сугубо технических уязвимостей во внешних сервисах компании, а на реализацию действительно критичного для компании события — хищения…
Пилю прохладную про Яндекс.
Околоббшное.
Полгода назад купил телек и прикрутил к нему ебучий онлайн-кинотеатр.
Телек оказался с заводским браком, обменял на другую модель, прикрутил и к нему онлайн-кинотеатр.
Недавно зашел в раздел "Мое" https://hd.kinopoisk.ru/personal и увидел, что какой чел смотрит кринжовые сериалы с моего аккаунта.
Ну, мы не пальцем деланные, какеры все-таки, идем в настройки, смотрим, ага, "Управление подпиской". Отвязываем старый привязанный девайс -> https://plus.yandex.ru/my
Логично, вроде, да?
Я успокаиваюсь(еще бы, какой-то хуй сидит и смотрит за мои бабки говенные сериалы про мусоров, а не аниме) на какое-то время, потом снова захожу в историю просмотров и вижу, что все продолжается.
Напрягаюсь, думаю, бля, может почту ломанули, хуй его знает, меняю пароли(хотя в истории активности чисто) еще раз чекаю что из привязанных девайсов только телек и мой телефон.
Нихуя, чел продолжает наслаждаться контентом.
В итоге, оказалось, что удаление девайсов через ебучий https://plus.yandex.ru/my не оказывет импакта, и эмпирическим путем было понято, что надо идти еще в кинопоиск(где ебучие дегенераты постят свои охуительные рецензии - как-будто кому не похуй и кто-то будет читать их графоманию) -> https://www.kinopoisk.ru/mykp/edit_main/
Какие выводы можно сделать?
Да хуй его знает, тут можно было бы завернуть про всякие эндпоинты и их влияние на функционал приложения, что мол всегда чекайте /v1/, /v2/, с телефончика еще, поменяйте блять GET на POST, ну или вообще еще на PUT, там, все надо тестировать же.
Но я ограничусь тем, что нахуй кинопоиск - лучше буду по старинке смотреть пиратки, ибо в душе я старый морской волк.
Потреблядство приводит к баттхерту)0)0
Добра :3
#bb
Околоббшное.
Полгода назад купил телек и прикрутил к нему ебучий онлайн-кинотеатр.
Телек оказался с заводским браком, обменял на другую модель, прикрутил и к нему онлайн-кинотеатр.
Недавно зашел в раздел "Мое" https://hd.kinopoisk.ru/personal и увидел, что какой чел смотрит кринжовые сериалы с моего аккаунта.
Ну, мы не пальцем деланные, какеры все-таки, идем в настройки, смотрим, ага, "Управление подпиской". Отвязываем старый привязанный девайс -> https://plus.yandex.ru/my
Логично, вроде, да?
Я успокаиваюсь(еще бы, какой-то хуй сидит и смотрит за мои бабки говенные сериалы про мусоров, а не аниме) на какое-то время, потом снова захожу в историю просмотров и вижу, что все продолжается.
Напрягаюсь, думаю, бля, может почту ломанули, хуй его знает, меняю пароли(хотя в истории активности чисто) еще раз чекаю что из привязанных девайсов только телек и мой телефон.
Нихуя, чел продолжает наслаждаться контентом.
В итоге, оказалось, что удаление девайсов через ебучий https://plus.yandex.ru/my не оказывет импакта, и эмпирическим путем было понято, что надо идти еще в кинопоиск(где ебучие дегенераты постят свои охуительные рецензии - как-будто кому не похуй и кто-то будет читать их графоманию) -> https://www.kinopoisk.ru/mykp/edit_main/
Какие выводы можно сделать?
Да хуй его знает, тут можно было бы завернуть про всякие эндпоинты и их влияние на функционал приложения, что мол всегда чекайте /v1/, /v2/, с телефончика еще, поменяйте блять GET на POST, ну или вообще еще на PUT, там, все надо тестировать же.
Но я ограничусь тем, что нахуй кинопоиск - лучше буду по старинке смотреть пиратки, ибо в душе я старый морской волк.
Потреблядство приводит к баттхерту)0)0
Добра :3
#bb
На https://github.com/features/code-search/ можно присоединиться к бета-тесту обновленного поискового синтаксиса по гитхабу.
Запилены полноценные регулярные выражения, что делает для багхантеров поиск всяких интересный штук, типа захардкорженных кредов/интересных эндпоинтов и так далее более гибким. Так что теперь можно прокачать и вывести на новый уровень старые добрые гитхабдорки.
#bb
Запилены полноценные регулярные выражения, что делает для багхантеров поиск всяких интересный штук, типа захардкорженных кредов/интересных эндпоинтов и так далее более гибким. Так что теперь можно прокачать и вывести на новый уровень старые добрые гитхабдорки.
#bb
https://t.me/bizone_bb/18
BI.ZONE кажись присоединяется к чаду кутежа и дичайшему угару, например, и начинает выпускать публичные программы.
#bb
BI.ZONE кажись присоединяется к чаду кутежа и дичайшему угару, например, и начинает выпускать публичные программы.
#bb
Telegram
BI.ZONE Bug Bounty
🪲 Продать гараж на «Авито»? А заодно... получить выплату за баги!
Крупнейшая в России платформа частных объявлений «Авито» присоединилась к нашей платформе BI.ZONE Bug Bounty.
Искать уязвимости можно во всех доступных приложениях и сервисах в диапазоне…
Крупнейшая в России платформа частных объявлений «Авито» присоединилась к нашей платформе BI.ZONE Bug Bounty.
Искать уязвимости можно во всех доступных приложениях и сервисах в диапазоне…
Прилетела приватка с BI.ZONE.
Репортнул, триагнули, оплатили. И все за пару часов.
Вот это понимаю, скорость.
Господам с VK/OK стоит перенять этот положительный опыт.
А то прохладные истории про то, как Вася Пупкин получает таск в jirа и с лицом грустной лягушки идет фиксить, и поэтому нельзя сразу выплачивать баунти/переводить на счет скрипткидисса в площадке-агрегаторе - немного смущают.
#bb
Репортнул, триагнули, оплатили. И все за пару часов.
Вот это понимаю, скорость.
Господам с VK/OK стоит перенять этот положительный опыт.
А то прохладные истории про то, как Вася Пупкин получает таск в jirа и с лицом грустной лягушки идет фиксить, и поэтому нельзя сразу выплачивать баунти/переводить на счет скрипткидисса в площадке-агрегаторе - немного смущают.
#bb
Парочка интересных статей, вышедших относительно недавно, касаемо багов в новомодных инструментах для генерации веб-приложений.
1. https://blog.assetnote.io/2022/10/28/exploiting-static-site-generators/
2. https://samcurry.net/universal-xss-on-netlifys-next-js-library/
Довольно познавательно, и есть что взять на заметку.
#bb
1. https://blog.assetnote.io/2022/10/28/exploiting-static-site-generators/
2. https://samcurry.net/universal-xss-on-netlifys-next-js-library/
Довольно познавательно, и есть что взять на заметку.
#bb
Это буквально мое лицо, когда готовился провести выходные за The Callisto Protocol, но оказалось, что все полимеры, которые так нравились в Dead Space, были проебаны.
Убогие QTE боевка и крафт, проебаная атмосфера безысходности и одиночества. Отдельно проиграл c Aim assist' в настройках, лол. Я понимаю, что это необходимая фича для консольных инвалидов, но на ПК то это зачем, все равно здесь стрельба скорее просто продолжение миликомбо.
Про техническую часть говорить не стоит - те, кто хоть немного следил за новостями с выхода игры, понимают о чем речь. На ПК - это пиздец, словно ни один тестер ее не запускал. В итоге скриммеры со статтерами вызывают скорее улыбку.
Ну и как вишенка на торте Denuvo и собственного, сама игра на, от силы, 8-10 часов. Да, не зря говорят, что к хорошей игре Denuvo не прикручивают.
Отдельно проиграл со второго скрина. Я конечно все понимаю, барнаул алтайский край, но сдержаться не смог.
Обидно, ждал ее. Придется пройти на твиче.
Недовольно заурчал.
#vg
Убогие QTE боевка и крафт, проебаная атмосфера безысходности и одиночества. Отдельно проиграл c Aim assist' в настройках, лол. Я понимаю, что это необходимая фича для консольных инвалидов, но на ПК то это зачем, все равно здесь стрельба скорее просто продолжение миликомбо.
Про техническую часть говорить не стоит - те, кто хоть немного следил за новостями с выхода игры, понимают о чем речь. На ПК - это пиздец, словно ни один тестер ее не запускал. В итоге скриммеры со статтерами вызывают скорее улыбку.
Ну и как вишенка на торте Denuvo и собственного, сама игра на, от силы, 8-10 часов. Да, не зря говорят, что к хорошей игре Denuvo не прикручивают.
Отдельно проиграл со второго скрина. Я конечно все понимаю, барнаул алтайский край, но сдержаться не смог.
Обидно, ждал ее. Придется пройти на твиче.
Недовольно заурчал.
#vg
Некоторые мысли по поводу нескольких тулз и методик.
1. Багбаунти энджоеры точно знают, что разведка - процесс непрекращающийся. И в этом деле нам могут помочь мониторы свежих доменов через выпущенные сертификаты из открытых источников. Чтобы опередить других страждующих и не дать другим скрипткидиссам срубить твои деньги, умные люди написали много подобных тулз. Я довольно долго применял https://github.com/Findomain/Findomain/blob/master/docs/INSTALLATION.md, пока виртуалка с развернутым монитором не умерла, а заново ставить было лень. Самая доступная и не требующая танцев с бубном альтернатива - "facebook certificate transparency" -> https://developers.facebook.com/tools/ct/search/
Регаетесь, добавляете скоуп, получаете на почту свежие домены, раз в день/неделю/месяц/год разгребаете и есть шанс получить интересную точку входа. Работает, было пару находок таким образом.
2. Если искать баги лень, но мучает прокрастинация, можно сделать финт ушами. Собрать кучу какого-нибудь несвежего говна, запихнуть куда-нибудь, и ждать результаты.
Например, алгоритм такой:
- Через гуглдорки+wayback machine собираем по широкому скоупу .js/.json файлы https://github.com/tomnomnom/waybackurls
- Все это добро прогоняем через https://github.com/GerbenJavado/LinkFinder и JS Miner https://portswigger.net/bappstore/0ab7a94d8e11449daaf0fb387431225b
- С чистым сердцем проебываем весь день за любимой игрой/аниме
- В конце дня собираем яйца в кулак и идем разгребать результаты
- ???
- Profit!
По поводу JS Miner - если еще не используете, то зря. Тут:
- Обращаем внимание на проблемы связанные с "dependency confusion", чтобы потом попытаться проэксплуатировать (начать можете отсюда https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610)
- Ссылки на облачные ресурсы
- Эндпоинты
- И конечно же самое сладкое, всякие ключи/токены/пароли и так далее. Если вдруг видите какой-то непонятный ключ, то https://github.com/GiJ03/API_KeyHacks
#bb
1. Багбаунти энджоеры точно знают, что разведка - процесс непрекращающийся. И в этом деле нам могут помочь мониторы свежих доменов через выпущенные сертификаты из открытых источников. Чтобы опередить других страждующих и не дать другим скрипткидиссам срубить твои деньги, умные люди написали много подобных тулз. Я довольно долго применял https://github.com/Findomain/Findomain/blob/master/docs/INSTALLATION.md, пока виртуалка с развернутым монитором не умерла, а заново ставить было лень. Самая доступная и не требующая танцев с бубном альтернатива - "facebook certificate transparency" -> https://developers.facebook.com/tools/ct/search/
Регаетесь, добавляете скоуп, получаете на почту свежие домены, раз в день/неделю/месяц/год разгребаете и есть шанс получить интересную точку входа. Работает, было пару находок таким образом.
2. Если искать баги лень, но мучает прокрастинация, можно сделать финт ушами. Собрать кучу какого-нибудь несвежего говна, запихнуть куда-нибудь, и ждать результаты.
Например, алгоритм такой:
- Через гуглдорки+wayback machine собираем по широкому скоупу .js/.json файлы https://github.com/tomnomnom/waybackurls
- Все это добро прогоняем через https://github.com/GerbenJavado/LinkFinder и JS Miner https://portswigger.net/bappstore/0ab7a94d8e11449daaf0fb387431225b
- С чистым сердцем проебываем весь день за любимой игрой/аниме
- В конце дня собираем яйца в кулак и идем разгребать результаты
- ???
- Profit!
По поводу JS Miner - если еще не используете, то зря. Тут:
- Обращаем внимание на проблемы связанные с "dependency confusion", чтобы потом попытаться проэксплуатировать (начать можете отсюда https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610)
- Ссылки на облачные ресурсы
- Эндпоинты
- И конечно же самое сладкое, всякие ключи/токены/пароли и так далее. Если вдруг видите какой-то непонятный ключ, то https://github.com/GiJ03/API_KeyHacks
#bb
👆👆👆
3. В продолжение JS Miner. Часто, даже на отечественных проектах, можно встретить что-то подобное, как на скрине. Значит, мы имеем дело с облачной БД Firebase, и если в результате человеческой ошибки, криво выставлен доступ, можем в теории что-то прочитать/записать.
Алгоритм:
- Из результатов JS Miner'а дергаем урл с БД и и проверяем -> https://ololo.firebaseio.com/.json Если видим в ответе любой 200 OK, то идем дальше
- Оттуда же дергаем ключ, чекаем, рабочий ли, примерно так:
curl -v -X POST "https://firebaseremoteconfig.googleapis.com/v1/projects/612345678909/namespaces/firebase:fetch?key=AIzaSyAs1[...]" -H "Content-Type: application/json" --data '{"appId": "1:612345678909:ios:c212345678909876", "appInstanceId": "PROD"}'
- Если и тут все ок, в принципе, уже достойно репорта
- Далее можно попробовать что-то туда записать, в качестве POC -> https://blog.securitybreached.org/2020/02/04/exploiting-insecure-firebase-database-bugbounty/ -> https://hackerone.com/reports/736283
Добра :3
#bb
3. В продолжение JS Miner. Часто, даже на отечественных проектах, можно встретить что-то подобное, как на скрине. Значит, мы имеем дело с облачной БД Firebase, и если в результате человеческой ошибки, криво выставлен доступ, можем в теории что-то прочитать/записать.
Алгоритм:
- Из результатов JS Miner'а дергаем урл с БД и и проверяем -> https://ololo.firebaseio.com/.json Если видим в ответе любой 200 OK, то идем дальше
- Оттуда же дергаем ключ, чекаем, рабочий ли, примерно так:
curl -v -X POST "https://firebaseremoteconfig.googleapis.com/v1/projects/612345678909/namespaces/firebase:fetch?key=AIzaSyAs1[...]" -H "Content-Type: application/json" --data '{"appId": "1:612345678909:ios:c212345678909876", "appInstanceId": "PROD"}'
- Если и тут все ок, в принципе, уже достойно репорта
- Далее можно попробовать что-то туда записать, в качестве POC -> https://blog.securitybreached.org/2020/02/04/exploiting-insecure-firebase-database-bugbounty/ -> https://hackerone.com/reports/736283
Добра :3
#bb