Давненько я не заходил на https://bugbounty.standoff365.com/
Решил наведаться к VKшечке и занести очередную говенную XSSску, чтобы успокоиться еще на месяц.
Интересный факт: ровно за месяц посоны настрочили 149 репортов.
С одной стороны - орлы, движуха мутится, репорты крутятся.
С другой - получается 5 репортов за день, что для какого-нибудь опытного аналитика обработать вполне возможно в одиночку за пару часов и потом, проводить весь рабочий день надваче пикабу.
По сути, в рамках одной программы(VK) скоуп обширный, но... Можно сказать, что на данном этапе это единственный крупный игрок в отечественном багбаунти, который разметил себя на площадках-агрегаторах.
Делаю вывод, что пока что отечественный бизнес и госсектор неохотно идут в багбаунти. Кто-то держит свои standalone программы(Яндекс), либо заказывают комплексные проверки у всяких там пентест-фирм.
Причины с дивана видятся следующие:
1. Да, у нас утечки, и нам похуй, заплатим 50k в казну(всякие ебучие DNSы тому пример)
2. Авось найдут еще чего, и начнут свои врайтапы писать, позорить перед лицом уважаемых партнеров! Ишь че удумали, неча сор из избы выносить! Не положено!
Надеюсь дожить до того дня, когда регуляторы начнут ебать не на пол шишечки, а засаживать уже наконец-то многомиллионые штрафы. И чтобы всякие челы, имеющие доступ к персональной информации, присаживались на бутылку товарища майора, а не выкладывали все добро где-нибудь в нижнем интернете за крипту, прекрасно осознавая, что даже в случае если их поймают за руку - они отделаются легким испугом.
Такие дела.
#bb
Решил наведаться к VKшечке и занести очередную говенную XSSску, чтобы успокоиться еще на месяц.
Интересный факт: ровно за месяц посоны настрочили 149 репортов.
С одной стороны - орлы, движуха мутится, репорты крутятся.
С другой - получается 5 репортов за день, что для какого-нибудь опытного аналитика обработать вполне возможно в одиночку за пару часов и потом, проводить весь рабочий день на
По сути, в рамках одной программы(VK) скоуп обширный, но... Можно сказать, что на данном этапе это единственный крупный игрок в отечественном багбаунти, который разметил себя на площадках-агрегаторах.
Делаю вывод, что пока что отечественный бизнес и госсектор неохотно идут в багбаунти. Кто-то держит свои standalone программы(Яндекс), либо заказывают комплексные проверки у всяких там пентест-фирм.
Причины с дивана видятся следующие:
1. Да, у нас утечки, и нам похуй, заплатим 50k в казну(всякие ебучие DNSы тому пример)
2. Авось найдут еще чего, и начнут свои врайтапы писать, позорить перед лицом уважаемых партнеров! Ишь че удумали, неча сор из избы выносить! Не положено!
Надеюсь дожить до того дня, когда регуляторы начнут ебать не на пол шишечки, а засаживать уже наконец-то многомиллионые штрафы. И чтобы всякие челы, имеющие доступ к персональной информации, присаживались на бутылку товарища майора, а не выкладывали все добро где-нибудь в нижнем интернете за крипту, прекрасно осознавая, что даже в случае если их поймают за руку - они отделаются легким испугом.
Такие дела.
#bb
This media is not supported in your browser
VIEW IN TELEGRAM
Спасибо за ивент, и ребятам, которые выступили с докладами.
Prototype Pollution на гитлабе - заебись. Жаль, вопросов не последовало.
WP - кажется я понял, что можно не просто wpscan запустить.
Шаринг знаний это заебись.
#bb
Prototype Pollution на гитлабе - заебись. Жаль, вопросов не последовало.
WP - кажется я понял, что можно не просто wpscan запустить.
Шаринг знаний это заебись.
#bb
This media is not supported in your browser
VIEW IN TELEGRAM
Спешу поделиться подборкой каналов, которые будут полезны как начинающим, так и опытным багхантерам.
https://t.me/shadow_group_tg
Новости, статьи, интересные/полезные идеи.
https://t.me/yafcab
Канал ведет чувак, которого вы могли знать по h1, сейчас вроде топ1 на багбаунти площадке стендофф365. Nuff said.
https://t.me/BountyOnCoffee
Любит ломать логику. TeamLead и Пентестер в Deteact.
https://t.me/postImpact
Крутой чувак со светлой головой
https://t.me/BugBountyPLZ
Еще один яркий представитель отечественных хантеров с h1 - skavans. Антоха, респект :3
Не забудьте подписаться на чатики к каналам. Знания - сила.
____________________
Конечно же, в текущих реалиях стоит подписаться на каналы/чатики крупнейших отечественных площадок-агрегаторов - bugbounty.ru bugbounty.standoff365.com app.bugbounty.bi.zone
https://t.me/standoff_365_chat
https://t.me/TheStandoff
https://t.me/bugbountyru_chat
https://t.me/bizone_bb
Новости о новых программах, обмен опытом/знаниями, смехуёчки - все, как мы любим.
______________________
Плюс из интересного недавно вышла статья на хабре https://habr.com/ru/company/vk/blog/705222/
Чем интересна? Во-первых, вы поймете как стоит и не стоит писать свои репорты. Cамое главное что стоит вынести для себя - грубиянов и быдло никто не любит, и уважайте труд и время аналитиков, которые сидят и разбирают все, что вы им прислали :3
Cтатья написана руководителем направления Bug Bounty VK Алексеем Гришиным. Недавно имел честь провести с ним содержательную беседу по поводу скорости начисления баунти после репорта. Поговорили продуктивно. Он вообще крутой, радеет за прозрачность и открытость общения между багбаунти программой и рядовыми хантерами. Очень уважаю и ценю такое. Спасибо за твою работу.
В общем, если у вас есть какие-то вопросы по программе VK, вы всегда можете кастануть спелл призыва - @mokando - и получить ответы на свои вопросы.
Добра :3
#bb
https://t.me/shadow_group_tg
Новости, статьи, интересные/полезные идеи.
https://t.me/yafcab
Канал ведет чувак, которого вы могли знать по h1, сейчас вроде топ1 на багбаунти площадке стендофф365. Nuff said.
https://t.me/BountyOnCoffee
Любит ломать логику. TeamLead и Пентестер в Deteact.
https://t.me/postImpact
Крутой чувак со светлой головой
https://t.me/BugBountyPLZ
Еще один яркий представитель отечественных хантеров с h1 - skavans. Антоха, респект :3
Не забудьте подписаться на чатики к каналам. Знания - сила.
____________________
Конечно же, в текущих реалиях стоит подписаться на каналы/чатики крупнейших отечественных площадок-агрегаторов - bugbounty.ru bugbounty.standoff365.com app.bugbounty.bi.zone
https://t.me/standoff_365_chat
https://t.me/TheStandoff
https://t.me/bugbountyru_chat
https://t.me/bizone_bb
Новости о новых программах, обмен опытом/знаниями, смехуёчки - все, как мы любим.
______________________
Плюс из интересного недавно вышла статья на хабре https://habr.com/ru/company/vk/blog/705222/
Чем интересна? Во-первых, вы поймете как стоит и не стоит писать свои репорты. Cамое главное что стоит вынести для себя - грубиянов и быдло никто не любит, и уважайте труд и время аналитиков, которые сидят и разбирают все, что вы им прислали :3
Cтатья написана руководителем направления Bug Bounty VK Алексеем Гришиным. Недавно имел честь провести с ним содержательную беседу по поводу скорости начисления баунти после репорта. Поговорили продуктивно. Он вообще крутой, радеет за прозрачность и открытость общения между багбаунти программой и рядовыми хантерами. Очень уважаю и ценю такое. Спасибо за твою работу.
В общем, если у вас есть какие-то вопросы по программе VK, вы всегда можете кастануть спелл призыва - @mokando - и получить ответы на свои вопросы.
Добра :3
#bb
Меня тут потыкали веточкой и напомнили, что повыходила куча новых программ, а я совсем и забыл. Действительно. Исправляюсь. Держите раритеного слоупока.
Анонс программы oт BI.ZONE -> https://t.me/bizone_bb/25
Озон, в представлении не нуждается. Судя по статистике, https://app.bugbounty.bi.zone/companies/9/main, отчетов не так чтобы много, так что дерзайте.
Анонс сразу нескольких программ от bugbounty.standoff365.com -> https://t.me/standoff_365_chat/2562
VKшечка и немного ptsecurity.
_______________
Алсо, еще одна хорошая новость для тех, кто после смерти xsshunter'а - сервиса, для поиска слепых XSSсок - не озаботился альтернативой. Предлагаю такой вариант https://xss.report/ Мельком глянул, вроде свои функции выполняет. Можно смело добавлять свои нагрузки в какой-нибудь плагин для бурпа, например Burp Bounty Free, и вперед.
#bb
Анонс программы oт BI.ZONE -> https://t.me/bizone_bb/25
Озон, в представлении не нуждается. Судя по статистике, https://app.bugbounty.bi.zone/companies/9/main, отчетов не так чтобы много, так что дерзайте.
Анонс сразу нескольких программ от bugbounty.standoff365.com -> https://t.me/standoff_365_chat/2562
VKшечка и немного ptsecurity.
_______________
Алсо, еще одна хорошая новость для тех, кто после смерти xsshunter'а - сервиса, для поиска слепых XSSсок - не озаботился альтернативой. Предлагаю такой вариант https://xss.report/ Мельком глянул, вроде свои функции выполняет. Можно смело добавлять свои нагрузки в какой-нибудь плагин для бурпа, например Burp Bounty Free, и вперед.
#bb
Продолжаю публикацию некоторых моих репортов по ББ от мелкомягких, чтобы напомнить как дорогим читателям, так и самому себе, что майндсет "Баги есть везде!" - лучшее оружие скрипткиддиса/какера/хантера. Особенно, когда опускаются лапки.
Предыдущие ->
https://t.me/ScriptKiddieNotes/157
https://t.me/ScriptKiddieNotes/170
Кейс №3
Один из тех репортов, которыми горжусь лично для себя. Когда сидишь, втыкаешь в экран и нет плана, нет идей, а потом возникает какой-то миг озарения, и ты такой "А давай ебанём вот так, и посмотрим, что выйдет!". В данном случае даже не потребовались какие-то инструменты типа бурпа, только интернет и прокладка между креслом и клавиатурой. Не претендую на какое-то авторство, но за 6 лет лет просматривания открытых репортов с h1, не видел подобного в раскрытых. Не уверен, как можно классифицировать данный инцидент по OWASP, возможно CWE-840: Business Logic Errors. Сам я, как видно из скринов к посту, обозвал это как повышение привилегий, но уверен, что это в корне не верно. Если у вас другие мысли по этому поводу, дайте знать в личку, или комментариях. Спасибо.
Суть такова. Набравшись смелости(да и вообще набравшись, чего уж там греха таить) поковырять dev.azure.com - cервис для бородатых мужчин, любящих попердолиться с консолькой и прочими умными вещами(если сравнить с чем-то, то ближайшие аналоги mcs.mail.ru и cloud.google.com), я решил взглянуть, что там и как. После череды неудач, в голову стрельнула мысль, что будет, если наградить нашего условного атакующего правами и разрешениями, равными владельцу проекта, потом удалить его вовсе, потом восстановить, и посмотреть, что получиться.
Вышло неплохо, так как-как после удаления такого пользователя - он восстанавливался с прежними правами и разрешениями, поскольку по какой-то причине, система помечала его как принадлежащего к группе Администраторов, и не сбрасывала этот флаг. Вдохновившись этими фактом, отображавшимся на мониторе, я зарепортил. Посоны из Редмонда по достоинству оценили искру вдохновения.
С тех пор, когда я вижу какую-то админку/кабинет разработчика, я задаюсь простым вопросом - как закрепиться условному атакующему, зная, что его пидорнут. Что будет с ключами/токенами, которые были сгенерированы от его имени? Какие-то вебхуки? Пароли к базам данным? Сбрасывается ли все это добро? Как получить какой-то условный бэкдор?
Fun fact: Буквально сегодня за подобный баг, от VK/OK мне прилетела выплата 9000 рублей. Причем в довольно критичном функционале, на котором, собственно и строится весь этот проект, учитывая что сама система/групп/страничек пропускает через себя большой поток денег, и является предметом купли/продажи. Какие времена - такие и нравы. Щито поделать, десу-ка. Спасибо, хоть нахуй не послали.
Подводя итог:
скрипткидди vs кулхацкеры 3:0
Баунти - 5k$
Поскольку скрины не влезли, ибо я слишком распизделся, то они в комментариях.
Добра :3
#bb
Предыдущие ->
https://t.me/ScriptKiddieNotes/157
https://t.me/ScriptKiddieNotes/170
Кейс №3
Один из тех репортов, которыми горжусь лично для себя. Когда сидишь, втыкаешь в экран и нет плана, нет идей, а потом возникает какой-то миг озарения, и ты такой "А давай ебанём вот так, и посмотрим, что выйдет!". В данном случае даже не потребовались какие-то инструменты типа бурпа, только интернет и прокладка между креслом и клавиатурой. Не претендую на какое-то авторство, но за 6 лет лет просматривания открытых репортов с h1, не видел подобного в раскрытых. Не уверен, как можно классифицировать данный инцидент по OWASP, возможно CWE-840: Business Logic Errors. Сам я, как видно из скринов к посту, обозвал это как повышение привилегий, но уверен, что это в корне не верно. Если у вас другие мысли по этому поводу, дайте знать в личку, или комментариях. Спасибо.
Суть такова. Набравшись смелости(да и вообще набравшись, чего уж там греха таить) поковырять dev.azure.com - cервис для бородатых мужчин, любящих попердолиться с консолькой и прочими умными вещами(если сравнить с чем-то, то ближайшие аналоги mcs.mail.ru и cloud.google.com), я решил взглянуть, что там и как. После череды неудач, в голову стрельнула мысль, что будет, если наградить нашего условного атакующего правами и разрешениями, равными владельцу проекта, потом удалить его вовсе, потом восстановить, и посмотреть, что получиться.
Вышло неплохо, так как-как после удаления такого пользователя - он восстанавливался с прежними правами и разрешениями, поскольку по какой-то причине, система помечала его как принадлежащего к группе Администраторов, и не сбрасывала этот флаг. Вдохновившись этими фактом, отображавшимся на мониторе, я зарепортил. Посоны из Редмонда по достоинству оценили искру вдохновения.
С тех пор, когда я вижу какую-то админку/кабинет разработчика, я задаюсь простым вопросом - как закрепиться условному атакующему, зная, что его пидорнут. Что будет с ключами/токенами, которые были сгенерированы от его имени? Какие-то вебхуки? Пароли к базам данным? Сбрасывается ли все это добро? Как получить какой-то условный бэкдор?
Fun fact: Буквально сегодня за подобный баг, от VK/OK мне прилетела выплата 9000 рублей. Причем в довольно критичном функционале, на котором, собственно и строится весь этот проект, учитывая что сама система/групп/страничек пропускает через себя большой поток денег, и является предметом купли/продажи. Какие времена - такие и нравы. Щито поделать, десу-ка. Спасибо, хоть нахуй не послали.
Подводя итог:
скрипткидди vs кулхацкеры 3:0
Баунти - 5k$
Поскольку скрины не влезли, ибо я слишком распизделся, то они в комментариях.
Добра :3
#bb
Штош, длительные праздники на носу, новый год, и все такое, а значит стоит подвести некоторые итоги.
Год для нашего брата багхантера был не простым, но уверен, что мы со всем справимся, и следующий будет более позитивным.
Хотел бы от себя поблагодарить всех причастных к развитию бб движухи России.
В первую очередь, это площадки-агрегаторы:
https://bugbounty.standoff365.com/
https://bugbounty.ru
https://app.bugbounty.bi.zone/
В это непростое время вы взяли на себя некоторые риски и подсуетились кабанчиками, чтобы нам было куда нести баги.
Во-вторую это все те, кто решил разместиться на них или просто имеют свою отдельную программу.
VK/OK, тинькофф, Яндекс и так далее.
В-третьих, конкретные личности.
Ярослав Бабин, Лука, Алексей Гришин, каждого лично причастного к проведению онлайн-мероприятий, каждого, кто расшаривает знания и делится опытом, каждого аналитика, кто разбирается в дебрях репортов. Да всех не перечислить.
До встречи в новом году.
Удачных багов и терпения. Побольше Сritical и поменьше Duplicate.
Берегите себя и своих близких и любимых.
Добра :3
#bb
Год для нашего брата багхантера был не простым, но уверен, что мы со всем справимся, и следующий будет более позитивным.
Хотел бы от себя поблагодарить всех причастных к развитию бб движухи России.
В первую очередь, это площадки-агрегаторы:
https://bugbounty.standoff365.com/
https://bugbounty.ru
https://app.bugbounty.bi.zone/
В это непростое время вы взяли на себя некоторые риски и подсуетились кабанчиками, чтобы нам было куда нести баги.
Во-вторую это все те, кто решил разместиться на них или просто имеют свою отдельную программу.
VK/OK, тинькофф, Яндекс и так далее.
В-третьих, конкретные личности.
Ярослав Бабин, Лука, Алексей Гришин, каждого лично причастного к проведению онлайн-мероприятий, каждого, кто расшаривает знания и делится опытом, каждого аналитика, кто разбирается в дебрях репортов. Да всех не перечислить.
До встречи в новом году.
Удачных багов и терпения. Побольше Сritical и поменьше Duplicate.
Берегите себя и своих близких и любимых.
Добра :3
#bb
This media is not supported in your browser
VIEW IN TELEGRAM
Рота, подъём!
Проснулись, потянулись.
Надеюсь, все живые, никто не замерз в сугробе, а значит пора доедать салатики, домывать посуду, убирать стекла от расхуяченных бокалов и выбирать новую цель для хантинга.
Удачных багов в уже новом году.
#bb
Проснулись, потянулись.
Надеюсь, все живые, никто не замерз в сугробе, а значит пора доедать салатики, домывать посуду, убирать стекла от расхуяченных бокалов и выбирать новую цель для хантинга.
Удачных багов в уже новом году.
#bb
Ну шо, хлопцi, год начинается неплохо, надеюсь у вас также.
Триагнули/оплатили парочку багов + плюс прилетели гранты от гугла.
Хинт по первому багу на скрине:
Видим swagger ui, смело чекаем на XSS типа https://ololol/swagger/index.html?configUrl=PAYLOAD.
Более подробно про эксплуатацию, уязвимые версии можно глянуть туть:
https://medium.com/@M0X0101/how-i-was-able-to-steal-users-credentials-via-swagger-ui-dom-xss-e84255eb8c96
Хинт по второму:
Ну... старые добрые пары типа admin:admin test:test demo:demo еще никто не отменял :3
__________________________
Так же спешу сообщить, что ухожу на свой традиционный месячный хардкорный марафон по поиску багов. Обычно это как раз зимой. Хантинг 24/7 с перерывами на сон, еду, небольшие физические нагрузки и пару часиков видеоигр, чтобы не выйти в окно. В общем, только ты и монитор. Опять таки традиционно буду штурмовать гугл.
Если через месяц не выйду на связь, значит закрыл я очи отнесовершенства мира переизбытка кавычек в организме.
Потом, все по старинке - будут какие-то мысли, шаринг опытом из практики, мемчики, аниме, видеоигры, хохлы и все в таком духе.
Удачных багов и добра, посоны и тянки:3
А, ну и да, нужна будет помощь по каким-то вопросам, или возникнет желание небольшой коллаборации - смело пишите, я всегда открыт для брата-хантера :3
#bb
Триагнули/оплатили парочку багов + плюс прилетели гранты от гугла.
Хинт по первому багу на скрине:
Видим swagger ui, смело чекаем на XSS типа https://ololol/swagger/index.html?configUrl=PAYLOAD.
Более подробно про эксплуатацию, уязвимые версии можно глянуть туть:
https://medium.com/@M0X0101/how-i-was-able-to-steal-users-credentials-via-swagger-ui-dom-xss-e84255eb8c96
Хинт по второму:
Ну... старые добрые пары типа admin:admin test:test demo:demo еще никто не отменял :3
__________________________
Так же спешу сообщить, что ухожу на свой традиционный месячный хардкорный марафон по поиску багов. Обычно это как раз зимой. Хантинг 24/7 с перерывами на сон, еду, небольшие физические нагрузки и пару часиков видеоигр, чтобы не выйти в окно. В общем, только ты и монитор. Опять таки традиционно буду штурмовать гугл.
Если через месяц не выйду на связь, значит закрыл я очи от
Потом, все по старинке - будут какие-то мысли, шаринг опытом из практики, мемчики, аниме, видеоигры, хохлы и все в таком духе.
Удачных багов и добра, посоны и тянки:3
А, ну и да, нужна будет помощь по каким-то вопросам, или возникнет желание небольшой коллаборации - смело пишите, я всегда открыт для брата-хантера :3
#bb
Новый год стартанул вроде, и не плохо, но все-таки как-то не так.
Было принято решение:
- Помириться с друзьями после НГ, когда возникло недопонимание с двух сторон
- Подать заявку на fast talk на phd.
- Называться доклад будет "В погоне за грязной зелёной бумажкой"(Как вам, норм или нет?)
- Пункты определены, задачи поставлены, план составлен, приступаю к работе.
Все в моих руках. И в ваших тоже.
Преподнесу презентацию, и понадеемся на русское "Авось". (конец срока 25 марта, так?)
Алсо, хардкорный марафон по гуглу зафакапился, но родилась тема для доклада.
Но я не жалею.
#bb
Было принято решение:
- Помириться с друзьями после НГ, когда возникло недопонимание с двух сторон
- Подать заявку на fast talk на phd.
- Называться доклад будет "В погоне за грязной зелёной бумажкой"(Как вам, норм или нет?)
- Пункты определены, задачи поставлены, план составлен, приступаю к работе.
Все в моих руках. И в ваших тоже.
Преподнесу презентацию, и понадеемся на русское "Авось". (конец срока 25 марта, так?)
Алсо, хардкорный марафон по гуглу зафакапился, но родилась тема для доклада.
Но я не жалею.
#bb
Марафон подходит к концу, осталось всего-то десять дней. Можно подвести промежуточные итоги.
Он пошел не очень по плану, и так получилось, что вместо фокусировки на именно поиске багов на гуглу, было принято решение уделить большую часть времени на теорию, чтобы доказать прежде самому себе, что старого пса еще можно научить новым фокусам. И попрыгать по разным целям, для практики.
Вот, буквально сегодня отловил XSSку на кинопоиске. Пришлось за ней побегать, да.
В любом случае, этот был позитивный опыт, ящитаю.
Алсо, после марофона сяду ваять презентацию и пояснительную записку для пхд. Честно говоря, я в душе не ебу, как это делать(в чем делать презентацию, что писать, понравится ли организаторам, ебануть ли больше мемов, или придерживаться утонченного изящного стиля, ха-ха, рассказать о чем точно хорошо знаешь уже, или вступить на неизведанную территорию с шансом подобосраться - столько вопросов и так мало ответов).
Такие дела.
P.S. А вы че делаете, ВКшечку небось ковыряете?
#bb
Он пошел не очень по плану, и так получилось, что вместо фокусировки на именно поиске багов на гуглу, было принято решение уделить большую часть времени на теорию, чтобы доказать прежде самому себе, что старого пса еще можно научить новым фокусам. И попрыгать по разным целям, для практики.
Вот, буквально сегодня отловил XSSку на кинопоиске. Пришлось за ней побегать, да.
В любом случае, этот был позитивный опыт, ящитаю.
Алсо, после марофона сяду ваять презентацию и пояснительную записку для пхд. Честно говоря, я в душе не ебу, как это делать(в чем делать презентацию, что писать, понравится ли организаторам, ебануть ли больше мемов, или придерживаться утонченного изящного стиля, ха-ха, рассказать о чем точно хорошо знаешь уже, или вступить на неизведанную территорию с шансом подобосраться - столько вопросов и так мало ответов).
Такие дела.
P.S. А вы че делаете, ВКшечку небось ковыряете?
#bb