Forwarded from Standoff 365
⚡️ 3i Games, Lootdog и ESforce уже на платформе!
3i Games — команда, которая занимается издательством браузерных и HTML5-игр.
Lootdog.io — торговая площадка, где игроки продают и покупают внутриигровые предметы. Площадка помогает повысить вовлеченность игроков, обеспечивая при этом полную безопасность операций и защиту от фрода.
👀 Искать уязвимости в VK ↓
bugbounty.standoff365.com/vendors/vk
3i Games — команда, которая занимается издательством браузерных и HTML5-игр.
🔸 *.3igames.mail.ru за исключением делегированных и размещенных на внешнем хостинге доменов и фирменных партнерских сервисов.Lootdog.io — торговая площадка, где игроки продают и покупают внутриигровые предметы. Площадка помогает повысить вовлеченность игроков, обеспечивая при этом полную безопасность операций и защиту от фрода.
🔸 *.lootdog.io
ESforce Holding — одна из крупнейших киберспортивных организаций в мире и лидер российского компьютерного спорта.🔸 *.cybersport.ru и *.esforce.com
💸 Максимальная награда за уязвимости — 60 000 ₽ (в зависимости от уровня угрозы).👀 Искать уязвимости в VK ↓
bugbounty.standoff365.com/vendors/vk
Если кто не в курсе, появился такой тг канал, насколько я понял, от действующего сотрудника ptsecurity, который лично для меня знаком по h1 под ником circuit (https://hackerone.com/circuit)
Мне запомнился как "потрошитель qiwi" (так я окрестил его для cамого себя) - у него было много репортов именно по qiwi в окртытом доступе, которые было интерсно читать, и что-то перенять из них для собственной практики.
Не стесняется шарингом личного бб опыта(что я лично приветствую и по возможности стараюсь делать), берет интервью у кулхацкеров и все такое.
Так что присоединяйтесь, и надеюсь почерпнете для себя что-то новое.
https://t.me/zaheck
#bb
Мне запомнился как "потрошитель qiwi" (так я окрестил его для cамого себя) - у него было много репортов именно по qiwi в окртытом доступе, которые было интерсно читать, и что-то перенять из них для собственной практики.
Не стесняется шарингом личного бб опыта(что я лично приветствую и по возможности стараюсь делать), берет интервью у кулхацкеров и все такое.
Так что присоединяйтесь, и надеюсь почерпнете для себя что-то новое.
https://t.me/zaheck
#bb
HackerOne
HackerOne profile - circuit
Я использую Яндекс.Деньги -
x8 - шустрый аналог Arjun и Param Miner.
Определенно мастхев.
Можно интегрировать в Burp Suite + плюс есть релиз под винду(хе-хе)
Более подробно можно почитать тут https://t.me/postImpact/16
https://github.com/Sh1Yo/x8
#bb
Определенно мастхев.
Можно интегрировать в Burp Suite + плюс есть релиз под винду(хе-хе)
Более подробно можно почитать тут https://t.me/postImpact/16
https://github.com/Sh1Yo/x8
#bb
Продолжаю публикацию некоторых моих репортов по ББ от мелкомягких, основной посыл в которых в том, что баги есть везде, порой в самых очевидных местах. Начало тут -> https://t.me/ScriptKiddieNotes/157
Кейс №2
Помню, была ебучая жара, и на съемной квартире не было кондиционера. Плюс мучила прокрастинация, потому что я давно не запускал burp suite.
Так было лениво искать баги, обливаясь потом, но я пересилил себя и зашел в свой личный аккаунт на https://ORGNAME.sharepoint.com/
И знаете что? Ты просто идешь в свой профиль, грузишь SVG файл с xss нагрузкой, и xss отрабатывает в контексте твоей орги, а, не как часто бывает, какого-то cdn ресурса.
С покерфейсом репортнул, конечно.
скрипткидди vs кулхацкеры 2:0
Банути - 3k$
Cпасибо посонам из Редмонда, что не заставили меня долго потеть, и позволили переключиться на что-то более полезное и осознанное - а именно на фарм мобов на пиратском сервере la2, ха-ха.
(Ну если вдруг кто совсем не въехал, это как зайти в свой профиль vk.com, грузануть svg файл с xss нагрузкой в свой аватар на главной, которая отработает в контексте именно vk.сom)
#bb
Кейс №2
Помню, была ебучая жара, и на съемной квартире не было кондиционера. Плюс мучила прокрастинация, потому что я давно не запускал burp suite.
Так было лениво искать баги, обливаясь потом, но я пересилил себя и зашел в свой личный аккаунт на https://ORGNAME.sharepoint.com/
И знаете что? Ты просто идешь в свой профиль, грузишь SVG файл с xss нагрузкой, и xss отрабатывает в контексте твоей орги, а, не как часто бывает, какого-то cdn ресурса.
С покерфейсом репортнул, конечно.
скрипткидди vs кулхацкеры 2:0
Банути - 3k$
Cпасибо посонам из Редмонда, что не заставили меня долго потеть, и позволили переключиться на что-то более полезное и осознанное - а именно на фарм мобов на пиратском сервере la2, ха-ха.
(Ну если вдруг кто совсем не въехал, это как зайти в свой профиль vk.com, грузануть svg файл с xss нагрузкой в свой аватар на главной, которая отработает в контексте именно vk.сom)
#bb
This media is not supported in your browser
VIEW IN TELEGRAM
at first i was like:
Cannot validate [SELECT * FROM vks.android_app WHERE package = ?]
but then:
org.apache.cassandra.exceptions.InvalidRequestException
:(
#bb
Cannot validate [SELECT * FROM vks.android_app WHERE package = ?]
but then:
org.apache.cassandra.exceptions.InvalidRequestException
:(
#bb
Для желающих по быстренькому срубить 10 лямов теперь есть такая возможность :3
https://t.me/TheStandoffNews/1143
#bb
https://t.me/TheStandoffNews/1143
#bb
Telegram
STANDOFF NEWS
Positive Technologies впервые в России объявила о запуске программы bug bounty нового типа, которая ориентирована не на поиск сугубо технических уязвимостей во внешних сервисах компании, а на реализацию действительно критичного для компании события — хищения…
Пилю прохладную про Яндекс.
Околоббшное.
Полгода назад купил телек и прикрутил к нему ебучий онлайн-кинотеатр.
Телек оказался с заводским браком, обменял на другую модель, прикрутил и к нему онлайн-кинотеатр.
Недавно зашел в раздел "Мое" https://hd.kinopoisk.ru/personal и увидел, что какой чел смотрит кринжовые сериалы с моего аккаунта.
Ну, мы не пальцем деланные, какеры все-таки, идем в настройки, смотрим, ага, "Управление подпиской". Отвязываем старый привязанный девайс -> https://plus.yandex.ru/my
Логично, вроде, да?
Я успокаиваюсь(еще бы, какой-то хуй сидит и смотрит за мои бабки говенные сериалы про мусоров, а не аниме) на какое-то время, потом снова захожу в историю просмотров и вижу, что все продолжается.
Напрягаюсь, думаю, бля, может почту ломанули, хуй его знает, меняю пароли(хотя в истории активности чисто) еще раз чекаю что из привязанных девайсов только телек и мой телефон.
Нихуя, чел продолжает наслаждаться контентом.
В итоге, оказалось, что удаление девайсов через ебучий https://plus.yandex.ru/my не оказывет импакта, и эмпирическим путем было понято, что надо идти еще в кинопоиск(где ебучие дегенераты постят свои охуительные рецензии - как-будто кому не похуй и кто-то будет читать их графоманию) -> https://www.kinopoisk.ru/mykp/edit_main/
Какие выводы можно сделать?
Да хуй его знает, тут можно было бы завернуть про всякие эндпоинты и их влияние на функционал приложения, что мол всегда чекайте /v1/, /v2/, с телефончика еще, поменяйте блять GET на POST, ну или вообще еще на PUT, там, все надо тестировать же.
Но я ограничусь тем, что нахуй кинопоиск - лучше буду по старинке смотреть пиратки, ибо в душе я старый морской волк.
Потреблядство приводит к баттхерту)0)0
Добра :3
#bb
Околоббшное.
Полгода назад купил телек и прикрутил к нему ебучий онлайн-кинотеатр.
Телек оказался с заводским браком, обменял на другую модель, прикрутил и к нему онлайн-кинотеатр.
Недавно зашел в раздел "Мое" https://hd.kinopoisk.ru/personal и увидел, что какой чел смотрит кринжовые сериалы с моего аккаунта.
Ну, мы не пальцем деланные, какеры все-таки, идем в настройки, смотрим, ага, "Управление подпиской". Отвязываем старый привязанный девайс -> https://plus.yandex.ru/my
Логично, вроде, да?
Я успокаиваюсь(еще бы, какой-то хуй сидит и смотрит за мои бабки говенные сериалы про мусоров, а не аниме) на какое-то время, потом снова захожу в историю просмотров и вижу, что все продолжается.
Напрягаюсь, думаю, бля, может почту ломанули, хуй его знает, меняю пароли(хотя в истории активности чисто) еще раз чекаю что из привязанных девайсов только телек и мой телефон.
Нихуя, чел продолжает наслаждаться контентом.
В итоге, оказалось, что удаление девайсов через ебучий https://plus.yandex.ru/my не оказывет импакта, и эмпирическим путем было понято, что надо идти еще в кинопоиск(где ебучие дегенераты постят свои охуительные рецензии - как-будто кому не похуй и кто-то будет читать их графоманию) -> https://www.kinopoisk.ru/mykp/edit_main/
Какие выводы можно сделать?
Да хуй его знает, тут можно было бы завернуть про всякие эндпоинты и их влияние на функционал приложения, что мол всегда чекайте /v1/, /v2/, с телефончика еще, поменяйте блять GET на POST, ну или вообще еще на PUT, там, все надо тестировать же.
Но я ограничусь тем, что нахуй кинопоиск - лучше буду по старинке смотреть пиратки, ибо в душе я старый морской волк.
Потреблядство приводит к баттхерту)0)0
Добра :3
#bb
На https://github.com/features/code-search/ можно присоединиться к бета-тесту обновленного поискового синтаксиса по гитхабу.
Запилены полноценные регулярные выражения, что делает для багхантеров поиск всяких интересный штук, типа захардкорженных кредов/интересных эндпоинтов и так далее более гибким. Так что теперь можно прокачать и вывести на новый уровень старые добрые гитхабдорки.
#bb
Запилены полноценные регулярные выражения, что делает для багхантеров поиск всяких интересный штук, типа захардкорженных кредов/интересных эндпоинтов и так далее более гибким. Так что теперь можно прокачать и вывести на новый уровень старые добрые гитхабдорки.
#bb
https://t.me/bizone_bb/18
BI.ZONE кажись присоединяется к чаду кутежа и дичайшему угару, например, и начинает выпускать публичные программы.
#bb
BI.ZONE кажись присоединяется к чаду кутежа и дичайшему угару, например, и начинает выпускать публичные программы.
#bb
Telegram
BI.ZONE Bug Bounty
🪲 Продать гараж на «Авито»? А заодно... получить выплату за баги!
Крупнейшая в России платформа частных объявлений «Авито» присоединилась к нашей платформе BI.ZONE Bug Bounty.
Искать уязвимости можно во всех доступных приложениях и сервисах в диапазоне…
Крупнейшая в России платформа частных объявлений «Авито» присоединилась к нашей платформе BI.ZONE Bug Bounty.
Искать уязвимости можно во всех доступных приложениях и сервисах в диапазоне…
Прилетела приватка с BI.ZONE.
Репортнул, триагнули, оплатили. И все за пару часов.
Вот это понимаю, скорость.
Господам с VK/OK стоит перенять этот положительный опыт.
А то прохладные истории про то, как Вася Пупкин получает таск в jirа и с лицом грустной лягушки идет фиксить, и поэтому нельзя сразу выплачивать баунти/переводить на счет скрипткидисса в площадке-агрегаторе - немного смущают.
#bb
Репортнул, триагнули, оплатили. И все за пару часов.
Вот это понимаю, скорость.
Господам с VK/OK стоит перенять этот положительный опыт.
А то прохладные истории про то, как Вася Пупкин получает таск в jirа и с лицом грустной лягушки идет фиксить, и поэтому нельзя сразу выплачивать баунти/переводить на счет скрипткидисса в площадке-агрегаторе - немного смущают.
#bb
Парочка интересных статей, вышедших относительно недавно, касаемо багов в новомодных инструментах для генерации веб-приложений.
1. https://blog.assetnote.io/2022/10/28/exploiting-static-site-generators/
2. https://samcurry.net/universal-xss-on-netlifys-next-js-library/
Довольно познавательно, и есть что взять на заметку.
#bb
1. https://blog.assetnote.io/2022/10/28/exploiting-static-site-generators/
2. https://samcurry.net/universal-xss-on-netlifys-next-js-library/
Довольно познавательно, и есть что взять на заметку.
#bb
Это буквально мое лицо, когда готовился провести выходные за The Callisto Protocol, но оказалось, что все полимеры, которые так нравились в Dead Space, были проебаны.
Убогие QTE боевка и крафт, проебаная атмосфера безысходности и одиночества. Отдельно проиграл c Aim assist' в настройках, лол. Я понимаю, что это необходимая фича для консольных инвалидов, но на ПК то это зачем, все равно здесь стрельба скорее просто продолжение миликомбо.
Про техническую часть говорить не стоит - те, кто хоть немного следил за новостями с выхода игры, понимают о чем речь. На ПК - это пиздец, словно ни один тестер ее не запускал. В итоге скриммеры со статтерами вызывают скорее улыбку.
Ну и как вишенка на торте Denuvo и собственного, сама игра на, от силы, 8-10 часов. Да, не зря говорят, что к хорошей игре Denuvo не прикручивают.
Отдельно проиграл со второго скрина. Я конечно все понимаю, барнаул алтайский край, но сдержаться не смог.
Обидно, ждал ее. Придется пройти на твиче.
Недовольно заурчал.
#vg
Убогие QTE боевка и крафт, проебаная атмосфера безысходности и одиночества. Отдельно проиграл c Aim assist' в настройках, лол. Я понимаю, что это необходимая фича для консольных инвалидов, но на ПК то это зачем, все равно здесь стрельба скорее просто продолжение миликомбо.
Про техническую часть говорить не стоит - те, кто хоть немного следил за новостями с выхода игры, понимают о чем речь. На ПК - это пиздец, словно ни один тестер ее не запускал. В итоге скриммеры со статтерами вызывают скорее улыбку.
Ну и как вишенка на торте Denuvo и собственного, сама игра на, от силы, 8-10 часов. Да, не зря говорят, что к хорошей игре Denuvo не прикручивают.
Отдельно проиграл со второго скрина. Я конечно все понимаю, барнаул алтайский край, но сдержаться не смог.
Обидно, ждал ее. Придется пройти на твиче.
Недовольно заурчал.
#vg
Некоторые мысли по поводу нескольких тулз и методик.
1. Багбаунти энджоеры точно знают, что разведка - процесс непрекращающийся. И в этом деле нам могут помочь мониторы свежих доменов через выпущенные сертификаты из открытых источников. Чтобы опередить других страждующих и не дать другим скрипткидиссам срубить твои деньги, умные люди написали много подобных тулз. Я довольно долго применял https://github.com/Findomain/Findomain/blob/master/docs/INSTALLATION.md, пока виртуалка с развернутым монитором не умерла, а заново ставить было лень. Самая доступная и не требующая танцев с бубном альтернатива - "facebook certificate transparency" -> https://developers.facebook.com/tools/ct/search/
Регаетесь, добавляете скоуп, получаете на почту свежие домены, раз в день/неделю/месяц/год разгребаете и есть шанс получить интересную точку входа. Работает, было пару находок таким образом.
2. Если искать баги лень, но мучает прокрастинация, можно сделать финт ушами. Собрать кучу какого-нибудь несвежего говна, запихнуть куда-нибудь, и ждать результаты.
Например, алгоритм такой:
- Через гуглдорки+wayback machine собираем по широкому скоупу .js/.json файлы https://github.com/tomnomnom/waybackurls
- Все это добро прогоняем через https://github.com/GerbenJavado/LinkFinder и JS Miner https://portswigger.net/bappstore/0ab7a94d8e11449daaf0fb387431225b
- С чистым сердцем проебываем весь день за любимой игрой/аниме
- В конце дня собираем яйца в кулак и идем разгребать результаты
- ???
- Profit!
По поводу JS Miner - если еще не используете, то зря. Тут:
- Обращаем внимание на проблемы связанные с "dependency confusion", чтобы потом попытаться проэксплуатировать (начать можете отсюда https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610)
- Ссылки на облачные ресурсы
- Эндпоинты
- И конечно же самое сладкое, всякие ключи/токены/пароли и так далее. Если вдруг видите какой-то непонятный ключ, то https://github.com/GiJ03/API_KeyHacks
#bb
1. Багбаунти энджоеры точно знают, что разведка - процесс непрекращающийся. И в этом деле нам могут помочь мониторы свежих доменов через выпущенные сертификаты из открытых источников. Чтобы опередить других страждующих и не дать другим скрипткидиссам срубить твои деньги, умные люди написали много подобных тулз. Я довольно долго применял https://github.com/Findomain/Findomain/blob/master/docs/INSTALLATION.md, пока виртуалка с развернутым монитором не умерла, а заново ставить было лень. Самая доступная и не требующая танцев с бубном альтернатива - "facebook certificate transparency" -> https://developers.facebook.com/tools/ct/search/
Регаетесь, добавляете скоуп, получаете на почту свежие домены, раз в день/неделю/месяц/год разгребаете и есть шанс получить интересную точку входа. Работает, было пару находок таким образом.
2. Если искать баги лень, но мучает прокрастинация, можно сделать финт ушами. Собрать кучу какого-нибудь несвежего говна, запихнуть куда-нибудь, и ждать результаты.
Например, алгоритм такой:
- Через гуглдорки+wayback machine собираем по широкому скоупу .js/.json файлы https://github.com/tomnomnom/waybackurls
- Все это добро прогоняем через https://github.com/GerbenJavado/LinkFinder и JS Miner https://portswigger.net/bappstore/0ab7a94d8e11449daaf0fb387431225b
- С чистым сердцем проебываем весь день за любимой игрой/аниме
- В конце дня собираем яйца в кулак и идем разгребать результаты
- ???
- Profit!
По поводу JS Miner - если еще не используете, то зря. Тут:
- Обращаем внимание на проблемы связанные с "dependency confusion", чтобы потом попытаться проэксплуатировать (начать можете отсюда https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610)
- Ссылки на облачные ресурсы
- Эндпоинты
- И конечно же самое сладкое, всякие ключи/токены/пароли и так далее. Если вдруг видите какой-то непонятный ключ, то https://github.com/GiJ03/API_KeyHacks
#bb
👆👆👆
3. В продолжение JS Miner. Часто, даже на отечественных проектах, можно встретить что-то подобное, как на скрине. Значит, мы имеем дело с облачной БД Firebase, и если в результате человеческой ошибки, криво выставлен доступ, можем в теории что-то прочитать/записать.
Алгоритм:
- Из результатов JS Miner'а дергаем урл с БД и и проверяем -> https://ololo.firebaseio.com/.json Если видим в ответе любой 200 OK, то идем дальше
- Оттуда же дергаем ключ, чекаем, рабочий ли, примерно так:
curl -v -X POST "https://firebaseremoteconfig.googleapis.com/v1/projects/612345678909/namespaces/firebase:fetch?key=AIzaSyAs1[...]" -H "Content-Type: application/json" --data '{"appId": "1:612345678909:ios:c212345678909876", "appInstanceId": "PROD"}'
- Если и тут все ок, в принципе, уже достойно репорта
- Далее можно попробовать что-то туда записать, в качестве POC -> https://blog.securitybreached.org/2020/02/04/exploiting-insecure-firebase-database-bugbounty/ -> https://hackerone.com/reports/736283
Добра :3
#bb
3. В продолжение JS Miner. Часто, даже на отечественных проектах, можно встретить что-то подобное, как на скрине. Значит, мы имеем дело с облачной БД Firebase, и если в результате человеческой ошибки, криво выставлен доступ, можем в теории что-то прочитать/записать.
Алгоритм:
- Из результатов JS Miner'а дергаем урл с БД и и проверяем -> https://ololo.firebaseio.com/.json Если видим в ответе любой 200 OK, то идем дальше
- Оттуда же дергаем ключ, чекаем, рабочий ли, примерно так:
curl -v -X POST "https://firebaseremoteconfig.googleapis.com/v1/projects/612345678909/namespaces/firebase:fetch?key=AIzaSyAs1[...]" -H "Content-Type: application/json" --data '{"appId": "1:612345678909:ios:c212345678909876", "appInstanceId": "PROD"}'
- Если и тут все ок, в принципе, уже достойно репорта
- Далее можно попробовать что-то туда записать, в качестве POC -> https://blog.securitybreached.org/2020/02/04/exploiting-insecure-firebase-database-bugbounty/ -> https://hackerone.com/reports/736283
Добра :3
#bb
Давненько я не заходил на https://bugbounty.standoff365.com/
Решил наведаться к VKшечке и занести очередную говенную XSSску, чтобы успокоиться еще на месяц.
Интересный факт: ровно за месяц посоны настрочили 149 репортов.
С одной стороны - орлы, движуха мутится, репорты крутятся.
С другой - получается 5 репортов за день, что для какого-нибудь опытного аналитика обработать вполне возможно в одиночку за пару часов и потом, проводить весь рабочий день надваче пикабу.
По сути, в рамках одной программы(VK) скоуп обширный, но... Можно сказать, что на данном этапе это единственный крупный игрок в отечественном багбаунти, который разметил себя на площадках-агрегаторах.
Делаю вывод, что пока что отечественный бизнес и госсектор неохотно идут в багбаунти. Кто-то держит свои standalone программы(Яндекс), либо заказывают комплексные проверки у всяких там пентест-фирм.
Причины с дивана видятся следующие:
1. Да, у нас утечки, и нам похуй, заплатим 50k в казну(всякие ебучие DNSы тому пример)
2. Авось найдут еще чего, и начнут свои врайтапы писать, позорить перед лицом уважаемых партнеров! Ишь че удумали, неча сор из избы выносить! Не положено!
Надеюсь дожить до того дня, когда регуляторы начнут ебать не на пол шишечки, а засаживать уже наконец-то многомиллионые штрафы. И чтобы всякие челы, имеющие доступ к персональной информации, присаживались на бутылку товарища майора, а не выкладывали все добро где-нибудь в нижнем интернете за крипту, прекрасно осознавая, что даже в случае если их поймают за руку - они отделаются легким испугом.
Такие дела.
#bb
Решил наведаться к VKшечке и занести очередную говенную XSSску, чтобы успокоиться еще на месяц.
Интересный факт: ровно за месяц посоны настрочили 149 репортов.
С одной стороны - орлы, движуха мутится, репорты крутятся.
С другой - получается 5 репортов за день, что для какого-нибудь опытного аналитика обработать вполне возможно в одиночку за пару часов и потом, проводить весь рабочий день на
По сути, в рамках одной программы(VK) скоуп обширный, но... Можно сказать, что на данном этапе это единственный крупный игрок в отечественном багбаунти, который разметил себя на площадках-агрегаторах.
Делаю вывод, что пока что отечественный бизнес и госсектор неохотно идут в багбаунти. Кто-то держит свои standalone программы(Яндекс), либо заказывают комплексные проверки у всяких там пентест-фирм.
Причины с дивана видятся следующие:
1. Да, у нас утечки, и нам похуй, заплатим 50k в казну(всякие ебучие DNSы тому пример)
2. Авось найдут еще чего, и начнут свои врайтапы писать, позорить перед лицом уважаемых партнеров! Ишь че удумали, неча сор из избы выносить! Не положено!
Надеюсь дожить до того дня, когда регуляторы начнут ебать не на пол шишечки, а засаживать уже наконец-то многомиллионые штрафы. И чтобы всякие челы, имеющие доступ к персональной информации, присаживались на бутылку товарища майора, а не выкладывали все добро где-нибудь в нижнем интернете за крипту, прекрасно осознавая, что даже в случае если их поймают за руку - они отделаются легким испугом.
Такие дела.
#bb