Продолжаю публикацию некоторых моих репортов по ББ от мелкомягких, основной посыл в которых в том, что баги есть везде, порой в самых очевидных местах. Начало тут -> https://t.me/ScriptKiddieNotes/157
Кейс №2
Помню, была ебучая жара, и на съемной квартире не было кондиционера. Плюс мучила прокрастинация, потому что я давно не запускал burp suite.
Так было лениво искать баги, обливаясь потом, но я пересилил себя и зашел в свой личный аккаунт на https://ORGNAME.sharepoint.com/
И знаете что? Ты просто идешь в свой профиль, грузишь SVG файл с xss нагрузкой, и xss отрабатывает в контексте твоей орги, а, не как часто бывает, какого-то cdn ресурса.
С покерфейсом репортнул, конечно.
скрипткидди vs кулхацкеры 2:0
Банути - 3k$
Cпасибо посонам из Редмонда, что не заставили меня долго потеть, и позволили переключиться на что-то более полезное и осознанное - а именно на фарм мобов на пиратском сервере la2, ха-ха.
(Ну если вдруг кто совсем не въехал, это как зайти в свой профиль vk.com, грузануть svg файл с xss нагрузкой в свой аватар на главной, которая отработает в контексте именно vk.сom)
#bb
Кейс №2
Помню, была ебучая жара, и на съемной квартире не было кондиционера. Плюс мучила прокрастинация, потому что я давно не запускал burp suite.
Так было лениво искать баги, обливаясь потом, но я пересилил себя и зашел в свой личный аккаунт на https://ORGNAME.sharepoint.com/
И знаете что? Ты просто идешь в свой профиль, грузишь SVG файл с xss нагрузкой, и xss отрабатывает в контексте твоей орги, а, не как часто бывает, какого-то cdn ресурса.
С покерфейсом репортнул, конечно.
скрипткидди vs кулхацкеры 2:0
Банути - 3k$
Cпасибо посонам из Редмонда, что не заставили меня долго потеть, и позволили переключиться на что-то более полезное и осознанное - а именно на фарм мобов на пиратском сервере la2, ха-ха.
(Ну если вдруг кто совсем не въехал, это как зайти в свой профиль vk.com, грузануть svg файл с xss нагрузкой в свой аватар на главной, которая отработает в контексте именно vk.сom)
#bb
This media is not supported in your browser
VIEW IN TELEGRAM
at first i was like:
Cannot validate [SELECT * FROM vks.android_app WHERE package = ?]
but then:
org.apache.cassandra.exceptions.InvalidRequestException
:(
#bb
Cannot validate [SELECT * FROM vks.android_app WHERE package = ?]
but then:
org.apache.cassandra.exceptions.InvalidRequestException
:(
#bb
Для желающих по быстренькому срубить 10 лямов теперь есть такая возможность :3
https://t.me/TheStandoffNews/1143
#bb
https://t.me/TheStandoffNews/1143
#bb
Telegram
STANDOFF NEWS
Positive Technologies впервые в России объявила о запуске программы bug bounty нового типа, которая ориентирована не на поиск сугубо технических уязвимостей во внешних сервисах компании, а на реализацию действительно критичного для компании события — хищения…
Пилю прохладную про Яндекс.
Околоббшное.
Полгода назад купил телек и прикрутил к нему ебучий онлайн-кинотеатр.
Телек оказался с заводским браком, обменял на другую модель, прикрутил и к нему онлайн-кинотеатр.
Недавно зашел в раздел "Мое" https://hd.kinopoisk.ru/personal и увидел, что какой чел смотрит кринжовые сериалы с моего аккаунта.
Ну, мы не пальцем деланные, какеры все-таки, идем в настройки, смотрим, ага, "Управление подпиской". Отвязываем старый привязанный девайс -> https://plus.yandex.ru/my
Логично, вроде, да?
Я успокаиваюсь(еще бы, какой-то хуй сидит и смотрит за мои бабки говенные сериалы про мусоров, а не аниме) на какое-то время, потом снова захожу в историю просмотров и вижу, что все продолжается.
Напрягаюсь, думаю, бля, может почту ломанули, хуй его знает, меняю пароли(хотя в истории активности чисто) еще раз чекаю что из привязанных девайсов только телек и мой телефон.
Нихуя, чел продолжает наслаждаться контентом.
В итоге, оказалось, что удаление девайсов через ебучий https://plus.yandex.ru/my не оказывет импакта, и эмпирическим путем было понято, что надо идти еще в кинопоиск(где ебучие дегенераты постят свои охуительные рецензии - как-будто кому не похуй и кто-то будет читать их графоманию) -> https://www.kinopoisk.ru/mykp/edit_main/
Какие выводы можно сделать?
Да хуй его знает, тут можно было бы завернуть про всякие эндпоинты и их влияние на функционал приложения, что мол всегда чекайте /v1/, /v2/, с телефончика еще, поменяйте блять GET на POST, ну или вообще еще на PUT, там, все надо тестировать же.
Но я ограничусь тем, что нахуй кинопоиск - лучше буду по старинке смотреть пиратки, ибо в душе я старый морской волк.
Потреблядство приводит к баттхерту)0)0
Добра :3
#bb
Околоббшное.
Полгода назад купил телек и прикрутил к нему ебучий онлайн-кинотеатр.
Телек оказался с заводским браком, обменял на другую модель, прикрутил и к нему онлайн-кинотеатр.
Недавно зашел в раздел "Мое" https://hd.kinopoisk.ru/personal и увидел, что какой чел смотрит кринжовые сериалы с моего аккаунта.
Ну, мы не пальцем деланные, какеры все-таки, идем в настройки, смотрим, ага, "Управление подпиской". Отвязываем старый привязанный девайс -> https://plus.yandex.ru/my
Логично, вроде, да?
Я успокаиваюсь(еще бы, какой-то хуй сидит и смотрит за мои бабки говенные сериалы про мусоров, а не аниме) на какое-то время, потом снова захожу в историю просмотров и вижу, что все продолжается.
Напрягаюсь, думаю, бля, может почту ломанули, хуй его знает, меняю пароли(хотя в истории активности чисто) еще раз чекаю что из привязанных девайсов только телек и мой телефон.
Нихуя, чел продолжает наслаждаться контентом.
В итоге, оказалось, что удаление девайсов через ебучий https://plus.yandex.ru/my не оказывет импакта, и эмпирическим путем было понято, что надо идти еще в кинопоиск(где ебучие дегенераты постят свои охуительные рецензии - как-будто кому не похуй и кто-то будет читать их графоманию) -> https://www.kinopoisk.ru/mykp/edit_main/
Какие выводы можно сделать?
Да хуй его знает, тут можно было бы завернуть про всякие эндпоинты и их влияние на функционал приложения, что мол всегда чекайте /v1/, /v2/, с телефончика еще, поменяйте блять GET на POST, ну или вообще еще на PUT, там, все надо тестировать же.
Но я ограничусь тем, что нахуй кинопоиск - лучше буду по старинке смотреть пиратки, ибо в душе я старый морской волк.
Потреблядство приводит к баттхерту)0)0
Добра :3
#bb
На https://github.com/features/code-search/ можно присоединиться к бета-тесту обновленного поискового синтаксиса по гитхабу.
Запилены полноценные регулярные выражения, что делает для багхантеров поиск всяких интересный штук, типа захардкорженных кредов/интересных эндпоинтов и так далее более гибким. Так что теперь можно прокачать и вывести на новый уровень старые добрые гитхабдорки.
#bb
Запилены полноценные регулярные выражения, что делает для багхантеров поиск всяких интересный штук, типа захардкорженных кредов/интересных эндпоинтов и так далее более гибким. Так что теперь можно прокачать и вывести на новый уровень старые добрые гитхабдорки.
#bb
https://t.me/bizone_bb/18
BI.ZONE кажись присоединяется к чаду кутежа и дичайшему угару, например, и начинает выпускать публичные программы.
#bb
BI.ZONE кажись присоединяется к чаду кутежа и дичайшему угару, например, и начинает выпускать публичные программы.
#bb
Telegram
BI.ZONE Bug Bounty
🪲 Продать гараж на «Авито»? А заодно... получить выплату за баги!
Крупнейшая в России платформа частных объявлений «Авито» присоединилась к нашей платформе BI.ZONE Bug Bounty.
Искать уязвимости можно во всех доступных приложениях и сервисах в диапазоне…
Крупнейшая в России платформа частных объявлений «Авито» присоединилась к нашей платформе BI.ZONE Bug Bounty.
Искать уязвимости можно во всех доступных приложениях и сервисах в диапазоне…
Прилетела приватка с BI.ZONE.
Репортнул, триагнули, оплатили. И все за пару часов.
Вот это понимаю, скорость.
Господам с VK/OK стоит перенять этот положительный опыт.
А то прохладные истории про то, как Вася Пупкин получает таск в jirа и с лицом грустной лягушки идет фиксить, и поэтому нельзя сразу выплачивать баунти/переводить на счет скрипткидисса в площадке-агрегаторе - немного смущают.
#bb
Репортнул, триагнули, оплатили. И все за пару часов.
Вот это понимаю, скорость.
Господам с VK/OK стоит перенять этот положительный опыт.
А то прохладные истории про то, как Вася Пупкин получает таск в jirа и с лицом грустной лягушки идет фиксить, и поэтому нельзя сразу выплачивать баунти/переводить на счет скрипткидисса в площадке-агрегаторе - немного смущают.
#bb
Парочка интересных статей, вышедших относительно недавно, касаемо багов в новомодных инструментах для генерации веб-приложений.
1. https://blog.assetnote.io/2022/10/28/exploiting-static-site-generators/
2. https://samcurry.net/universal-xss-on-netlifys-next-js-library/
Довольно познавательно, и есть что взять на заметку.
#bb
1. https://blog.assetnote.io/2022/10/28/exploiting-static-site-generators/
2. https://samcurry.net/universal-xss-on-netlifys-next-js-library/
Довольно познавательно, и есть что взять на заметку.
#bb
Это буквально мое лицо, когда готовился провести выходные за The Callisto Protocol, но оказалось, что все полимеры, которые так нравились в Dead Space, были проебаны.
Убогие QTE боевка и крафт, проебаная атмосфера безысходности и одиночества. Отдельно проиграл c Aim assist' в настройках, лол. Я понимаю, что это необходимая фича для консольных инвалидов, но на ПК то это зачем, все равно здесь стрельба скорее просто продолжение миликомбо.
Про техническую часть говорить не стоит - те, кто хоть немного следил за новостями с выхода игры, понимают о чем речь. На ПК - это пиздец, словно ни один тестер ее не запускал. В итоге скриммеры со статтерами вызывают скорее улыбку.
Ну и как вишенка на торте Denuvo и собственного, сама игра на, от силы, 8-10 часов. Да, не зря говорят, что к хорошей игре Denuvo не прикручивают.
Отдельно проиграл со второго скрина. Я конечно все понимаю, барнаул алтайский край, но сдержаться не смог.
Обидно, ждал ее. Придется пройти на твиче.
Недовольно заурчал.
#vg
Убогие QTE боевка и крафт, проебаная атмосфера безысходности и одиночества. Отдельно проиграл c Aim assist' в настройках, лол. Я понимаю, что это необходимая фича для консольных инвалидов, но на ПК то это зачем, все равно здесь стрельба скорее просто продолжение миликомбо.
Про техническую часть говорить не стоит - те, кто хоть немного следил за новостями с выхода игры, понимают о чем речь. На ПК - это пиздец, словно ни один тестер ее не запускал. В итоге скриммеры со статтерами вызывают скорее улыбку.
Ну и как вишенка на торте Denuvo и собственного, сама игра на, от силы, 8-10 часов. Да, не зря говорят, что к хорошей игре Denuvo не прикручивают.
Отдельно проиграл со второго скрина. Я конечно все понимаю, барнаул алтайский край, но сдержаться не смог.
Обидно, ждал ее. Придется пройти на твиче.
Недовольно заурчал.
#vg
Некоторые мысли по поводу нескольких тулз и методик.
1. Багбаунти энджоеры точно знают, что разведка - процесс непрекращающийся. И в этом деле нам могут помочь мониторы свежих доменов через выпущенные сертификаты из открытых источников. Чтобы опередить других страждующих и не дать другим скрипткидиссам срубить твои деньги, умные люди написали много подобных тулз. Я довольно долго применял https://github.com/Findomain/Findomain/blob/master/docs/INSTALLATION.md, пока виртуалка с развернутым монитором не умерла, а заново ставить было лень. Самая доступная и не требующая танцев с бубном альтернатива - "facebook certificate transparency" -> https://developers.facebook.com/tools/ct/search/
Регаетесь, добавляете скоуп, получаете на почту свежие домены, раз в день/неделю/месяц/год разгребаете и есть шанс получить интересную точку входа. Работает, было пару находок таким образом.
2. Если искать баги лень, но мучает прокрастинация, можно сделать финт ушами. Собрать кучу какого-нибудь несвежего говна, запихнуть куда-нибудь, и ждать результаты.
Например, алгоритм такой:
- Через гуглдорки+wayback machine собираем по широкому скоупу .js/.json файлы https://github.com/tomnomnom/waybackurls
- Все это добро прогоняем через https://github.com/GerbenJavado/LinkFinder и JS Miner https://portswigger.net/bappstore/0ab7a94d8e11449daaf0fb387431225b
- С чистым сердцем проебываем весь день за любимой игрой/аниме
- В конце дня собираем яйца в кулак и идем разгребать результаты
- ???
- Profit!
По поводу JS Miner - если еще не используете, то зря. Тут:
- Обращаем внимание на проблемы связанные с "dependency confusion", чтобы потом попытаться проэксплуатировать (начать можете отсюда https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610)
- Ссылки на облачные ресурсы
- Эндпоинты
- И конечно же самое сладкое, всякие ключи/токены/пароли и так далее. Если вдруг видите какой-то непонятный ключ, то https://github.com/GiJ03/API_KeyHacks
#bb
1. Багбаунти энджоеры точно знают, что разведка - процесс непрекращающийся. И в этом деле нам могут помочь мониторы свежих доменов через выпущенные сертификаты из открытых источников. Чтобы опередить других страждующих и не дать другим скрипткидиссам срубить твои деньги, умные люди написали много подобных тулз. Я довольно долго применял https://github.com/Findomain/Findomain/blob/master/docs/INSTALLATION.md, пока виртуалка с развернутым монитором не умерла, а заново ставить было лень. Самая доступная и не требующая танцев с бубном альтернатива - "facebook certificate transparency" -> https://developers.facebook.com/tools/ct/search/
Регаетесь, добавляете скоуп, получаете на почту свежие домены, раз в день/неделю/месяц/год разгребаете и есть шанс получить интересную точку входа. Работает, было пару находок таким образом.
2. Если искать баги лень, но мучает прокрастинация, можно сделать финт ушами. Собрать кучу какого-нибудь несвежего говна, запихнуть куда-нибудь, и ждать результаты.
Например, алгоритм такой:
- Через гуглдорки+wayback machine собираем по широкому скоупу .js/.json файлы https://github.com/tomnomnom/waybackurls
- Все это добро прогоняем через https://github.com/GerbenJavado/LinkFinder и JS Miner https://portswigger.net/bappstore/0ab7a94d8e11449daaf0fb387431225b
- С чистым сердцем проебываем весь день за любимой игрой/аниме
- В конце дня собираем яйца в кулак и идем разгребать результаты
- ???
- Profit!
По поводу JS Miner - если еще не используете, то зря. Тут:
- Обращаем внимание на проблемы связанные с "dependency confusion", чтобы потом попытаться проэксплуатировать (начать можете отсюда https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610)
- Ссылки на облачные ресурсы
- Эндпоинты
- И конечно же самое сладкое, всякие ключи/токены/пароли и так далее. Если вдруг видите какой-то непонятный ключ, то https://github.com/GiJ03/API_KeyHacks
#bb
👆👆👆
3. В продолжение JS Miner. Часто, даже на отечественных проектах, можно встретить что-то подобное, как на скрине. Значит, мы имеем дело с облачной БД Firebase, и если в результате человеческой ошибки, криво выставлен доступ, можем в теории что-то прочитать/записать.
Алгоритм:
- Из результатов JS Miner'а дергаем урл с БД и и проверяем -> https://ololo.firebaseio.com/.json Если видим в ответе любой 200 OK, то идем дальше
- Оттуда же дергаем ключ, чекаем, рабочий ли, примерно так:
curl -v -X POST "https://firebaseremoteconfig.googleapis.com/v1/projects/612345678909/namespaces/firebase:fetch?key=AIzaSyAs1[...]" -H "Content-Type: application/json" --data '{"appId": "1:612345678909:ios:c212345678909876", "appInstanceId": "PROD"}'
- Если и тут все ок, в принципе, уже достойно репорта
- Далее можно попробовать что-то туда записать, в качестве POC -> https://blog.securitybreached.org/2020/02/04/exploiting-insecure-firebase-database-bugbounty/ -> https://hackerone.com/reports/736283
Добра :3
#bb
3. В продолжение JS Miner. Часто, даже на отечественных проектах, можно встретить что-то подобное, как на скрине. Значит, мы имеем дело с облачной БД Firebase, и если в результате человеческой ошибки, криво выставлен доступ, можем в теории что-то прочитать/записать.
Алгоритм:
- Из результатов JS Miner'а дергаем урл с БД и и проверяем -> https://ololo.firebaseio.com/.json Если видим в ответе любой 200 OK, то идем дальше
- Оттуда же дергаем ключ, чекаем, рабочий ли, примерно так:
curl -v -X POST "https://firebaseremoteconfig.googleapis.com/v1/projects/612345678909/namespaces/firebase:fetch?key=AIzaSyAs1[...]" -H "Content-Type: application/json" --data '{"appId": "1:612345678909:ios:c212345678909876", "appInstanceId": "PROD"}'
- Если и тут все ок, в принципе, уже достойно репорта
- Далее можно попробовать что-то туда записать, в качестве POC -> https://blog.securitybreached.org/2020/02/04/exploiting-insecure-firebase-database-bugbounty/ -> https://hackerone.com/reports/736283
Добра :3
#bb
Давненько я не заходил на https://bugbounty.standoff365.com/
Решил наведаться к VKшечке и занести очередную говенную XSSску, чтобы успокоиться еще на месяц.
Интересный факт: ровно за месяц посоны настрочили 149 репортов.
С одной стороны - орлы, движуха мутится, репорты крутятся.
С другой - получается 5 репортов за день, что для какого-нибудь опытного аналитика обработать вполне возможно в одиночку за пару часов и потом, проводить весь рабочий день надваче пикабу.
По сути, в рамках одной программы(VK) скоуп обширный, но... Можно сказать, что на данном этапе это единственный крупный игрок в отечественном багбаунти, который разметил себя на площадках-агрегаторах.
Делаю вывод, что пока что отечественный бизнес и госсектор неохотно идут в багбаунти. Кто-то держит свои standalone программы(Яндекс), либо заказывают комплексные проверки у всяких там пентест-фирм.
Причины с дивана видятся следующие:
1. Да, у нас утечки, и нам похуй, заплатим 50k в казну(всякие ебучие DNSы тому пример)
2. Авось найдут еще чего, и начнут свои врайтапы писать, позорить перед лицом уважаемых партнеров! Ишь че удумали, неча сор из избы выносить! Не положено!
Надеюсь дожить до того дня, когда регуляторы начнут ебать не на пол шишечки, а засаживать уже наконец-то многомиллионые штрафы. И чтобы всякие челы, имеющие доступ к персональной информации, присаживались на бутылку товарища майора, а не выкладывали все добро где-нибудь в нижнем интернете за крипту, прекрасно осознавая, что даже в случае если их поймают за руку - они отделаются легким испугом.
Такие дела.
#bb
Решил наведаться к VKшечке и занести очередную говенную XSSску, чтобы успокоиться еще на месяц.
Интересный факт: ровно за месяц посоны настрочили 149 репортов.
С одной стороны - орлы, движуха мутится, репорты крутятся.
С другой - получается 5 репортов за день, что для какого-нибудь опытного аналитика обработать вполне возможно в одиночку за пару часов и потом, проводить весь рабочий день на
По сути, в рамках одной программы(VK) скоуп обширный, но... Можно сказать, что на данном этапе это единственный крупный игрок в отечественном багбаунти, который разметил себя на площадках-агрегаторах.
Делаю вывод, что пока что отечественный бизнес и госсектор неохотно идут в багбаунти. Кто-то держит свои standalone программы(Яндекс), либо заказывают комплексные проверки у всяких там пентест-фирм.
Причины с дивана видятся следующие:
1. Да, у нас утечки, и нам похуй, заплатим 50k в казну(всякие ебучие DNSы тому пример)
2. Авось найдут еще чего, и начнут свои врайтапы писать, позорить перед лицом уважаемых партнеров! Ишь че удумали, неча сор из избы выносить! Не положено!
Надеюсь дожить до того дня, когда регуляторы начнут ебать не на пол шишечки, а засаживать уже наконец-то многомиллионые штрафы. И чтобы всякие челы, имеющие доступ к персональной информации, присаживались на бутылку товарища майора, а не выкладывали все добро где-нибудь в нижнем интернете за крипту, прекрасно осознавая, что даже в случае если их поймают за руку - они отделаются легким испугом.
Такие дела.
#bb
This media is not supported in your browser
VIEW IN TELEGRAM
Спасибо за ивент, и ребятам, которые выступили с докладами.
Prototype Pollution на гитлабе - заебись. Жаль, вопросов не последовало.
WP - кажется я понял, что можно не просто wpscan запустить.
Шаринг знаний это заебись.
#bb
Prototype Pollution на гитлабе - заебись. Жаль, вопросов не последовало.
WP - кажется я понял, что можно не просто wpscan запустить.
Шаринг знаний это заебись.
#bb