Штош, длительные праздники на носу, новый год, и все такое, а значит стоит подвести некоторые итоги.
Год для нашего брата багхантера был не простым, но уверен, что мы со всем справимся, и следующий будет более позитивным.
Хотел бы от себя поблагодарить всех причастных к развитию бб движухи России.
В первую очередь, это площадки-агрегаторы:
https://bugbounty.standoff365.com/
https://bugbounty.ru
https://app.bugbounty.bi.zone/
В это непростое время вы взяли на себя некоторые риски и подсуетились кабанчиками, чтобы нам было куда нести баги.
Во-вторую это все те, кто решил разместиться на них или просто имеют свою отдельную программу.
VK/OK, тинькофф, Яндекс и так далее.
В-третьих, конкретные личности.
Ярослав Бабин, Лука, Алексей Гришин, каждого лично причастного к проведению онлайн-мероприятий, каждого, кто расшаривает знания и делится опытом, каждого аналитика, кто разбирается в дебрях репортов. Да всех не перечислить.
До встречи в новом году.
Удачных багов и терпения. Побольше Сritical и поменьше Duplicate.
Берегите себя и своих близких и любимых.
Добра :3
#bb
Год для нашего брата багхантера был не простым, но уверен, что мы со всем справимся, и следующий будет более позитивным.
Хотел бы от себя поблагодарить всех причастных к развитию бб движухи России.
В первую очередь, это площадки-агрегаторы:
https://bugbounty.standoff365.com/
https://bugbounty.ru
https://app.bugbounty.bi.zone/
В это непростое время вы взяли на себя некоторые риски и подсуетились кабанчиками, чтобы нам было куда нести баги.
Во-вторую это все те, кто решил разместиться на них или просто имеют свою отдельную программу.
VK/OK, тинькофф, Яндекс и так далее.
В-третьих, конкретные личности.
Ярослав Бабин, Лука, Алексей Гришин, каждого лично причастного к проведению онлайн-мероприятий, каждого, кто расшаривает знания и делится опытом, каждого аналитика, кто разбирается в дебрях репортов. Да всех не перечислить.
До встречи в новом году.
Удачных багов и терпения. Побольше Сritical и поменьше Duplicate.
Берегите себя и своих близких и любимых.
Добра :3
#bb
This media is not supported in your browser
VIEW IN TELEGRAM
Рота, подъём!
Проснулись, потянулись.
Надеюсь, все живые, никто не замерз в сугробе, а значит пора доедать салатики, домывать посуду, убирать стекла от расхуяченных бокалов и выбирать новую цель для хантинга.
Удачных багов в уже новом году.
#bb
Проснулись, потянулись.
Надеюсь, все живые, никто не замерз в сугробе, а значит пора доедать салатики, домывать посуду, убирать стекла от расхуяченных бокалов и выбирать новую цель для хантинга.
Удачных багов в уже новом году.
#bb
Ну шо, хлопцi, год начинается неплохо, надеюсь у вас также.
Триагнули/оплатили парочку багов + плюс прилетели гранты от гугла.
Хинт по первому багу на скрине:
Видим swagger ui, смело чекаем на XSS типа https://ololol/swagger/index.html?configUrl=PAYLOAD.
Более подробно про эксплуатацию, уязвимые версии можно глянуть туть:
https://medium.com/@M0X0101/how-i-was-able-to-steal-users-credentials-via-swagger-ui-dom-xss-e84255eb8c96
Хинт по второму:
Ну... старые добрые пары типа admin:admin test:test demo:demo еще никто не отменял :3
__________________________
Так же спешу сообщить, что ухожу на свой традиционный месячный хардкорный марафон по поиску багов. Обычно это как раз зимой. Хантинг 24/7 с перерывами на сон, еду, небольшие физические нагрузки и пару часиков видеоигр, чтобы не выйти в окно. В общем, только ты и монитор. Опять таки традиционно буду штурмовать гугл.
Если через месяц не выйду на связь, значит закрыл я очи отнесовершенства мира переизбытка кавычек в организме.
Потом, все по старинке - будут какие-то мысли, шаринг опытом из практики, мемчики, аниме, видеоигры, хохлы и все в таком духе.
Удачных багов и добра, посоны и тянки:3
А, ну и да, нужна будет помощь по каким-то вопросам, или возникнет желание небольшой коллаборации - смело пишите, я всегда открыт для брата-хантера :3
#bb
Триагнули/оплатили парочку багов + плюс прилетели гранты от гугла.
Хинт по первому багу на скрине:
Видим swagger ui, смело чекаем на XSS типа https://ololol/swagger/index.html?configUrl=PAYLOAD.
Более подробно про эксплуатацию, уязвимые версии можно глянуть туть:
https://medium.com/@M0X0101/how-i-was-able-to-steal-users-credentials-via-swagger-ui-dom-xss-e84255eb8c96
Хинт по второму:
Ну... старые добрые пары типа admin:admin test:test demo:demo еще никто не отменял :3
__________________________
Так же спешу сообщить, что ухожу на свой традиционный месячный хардкорный марафон по поиску багов. Обычно это как раз зимой. Хантинг 24/7 с перерывами на сон, еду, небольшие физические нагрузки и пару часиков видеоигр, чтобы не выйти в окно. В общем, только ты и монитор. Опять таки традиционно буду штурмовать гугл.
Если через месяц не выйду на связь, значит закрыл я очи от
Потом, все по старинке - будут какие-то мысли, шаринг опытом из практики, мемчики, аниме, видеоигры, хохлы и все в таком духе.
Удачных багов и добра, посоны и тянки:3
А, ну и да, нужна будет помощь по каким-то вопросам, или возникнет желание небольшой коллаборации - смело пишите, я всегда открыт для брата-хантера :3
#bb
Новый год стартанул вроде, и не плохо, но все-таки как-то не так.
Было принято решение:
- Помириться с друзьями после НГ, когда возникло недопонимание с двух сторон
- Подать заявку на fast talk на phd.
- Называться доклад будет "В погоне за грязной зелёной бумажкой"(Как вам, норм или нет?)
- Пункты определены, задачи поставлены, план составлен, приступаю к работе.
Все в моих руках. И в ваших тоже.
Преподнесу презентацию, и понадеемся на русское "Авось". (конец срока 25 марта, так?)
Алсо, хардкорный марафон по гуглу зафакапился, но родилась тема для доклада.
Но я не жалею.
#bb
Было принято решение:
- Помириться с друзьями после НГ, когда возникло недопонимание с двух сторон
- Подать заявку на fast talk на phd.
- Называться доклад будет "В погоне за грязной зелёной бумажкой"(Как вам, норм или нет?)
- Пункты определены, задачи поставлены, план составлен, приступаю к работе.
Все в моих руках. И в ваших тоже.
Преподнесу презентацию, и понадеемся на русское "Авось". (конец срока 25 марта, так?)
Алсо, хардкорный марафон по гуглу зафакапился, но родилась тема для доклада.
Но я не жалею.
#bb
Марафон подходит к концу, осталось всего-то десять дней. Можно подвести промежуточные итоги.
Он пошел не очень по плану, и так получилось, что вместо фокусировки на именно поиске багов на гуглу, было принято решение уделить большую часть времени на теорию, чтобы доказать прежде самому себе, что старого пса еще можно научить новым фокусам. И попрыгать по разным целям, для практики.
Вот, буквально сегодня отловил XSSку на кинопоиске. Пришлось за ней побегать, да.
В любом случае, этот был позитивный опыт, ящитаю.
Алсо, после марофона сяду ваять презентацию и пояснительную записку для пхд. Честно говоря, я в душе не ебу, как это делать(в чем делать презентацию, что писать, понравится ли организаторам, ебануть ли больше мемов, или придерживаться утонченного изящного стиля, ха-ха, рассказать о чем точно хорошо знаешь уже, или вступить на неизведанную территорию с шансом подобосраться - столько вопросов и так мало ответов).
Такие дела.
P.S. А вы че делаете, ВКшечку небось ковыряете?
#bb
Он пошел не очень по плану, и так получилось, что вместо фокусировки на именно поиске багов на гуглу, было принято решение уделить большую часть времени на теорию, чтобы доказать прежде самому себе, что старого пса еще можно научить новым фокусам. И попрыгать по разным целям, для практики.
Вот, буквально сегодня отловил XSSку на кинопоиске. Пришлось за ней побегать, да.
В любом случае, этот был позитивный опыт, ящитаю.
Алсо, после марофона сяду ваять презентацию и пояснительную записку для пхд. Честно говоря, я в душе не ебу, как это делать(в чем делать презентацию, что писать, понравится ли организаторам, ебануть ли больше мемов, или придерживаться утонченного изящного стиля, ха-ха, рассказать о чем точно хорошо знаешь уже, или вступить на неизведанную территорию с шансом подобосраться - столько вопросов и так мало ответов).
Такие дела.
P.S. А вы че делаете, ВКшечку небось ковыряете?
#bb
Я тут разгребал некоторые материалы к ознакомлению, и наткнулся на одной из вкладок в браузере видос, который висит там уже давно.
https://www.youtube.com/watch?v=4ZsTKvfP1g0
Суть - о пользе чтения rfc.
Кому то покажется, что это breaking news, но все же, стоит взять на заметку, если вдруг пропустили. Никогда не знаешь, что выстрелит, так?
Хотя скорее всего это имеет академический интерес, и в дикой природе скорее всего встречается в порядке статистической погрешности. Если у вас вдруг есть ссылки на репорты или интересные баги в этом ключе - дайте знать.
Краткая выжимка:
1. Домены lol.com и lol.com. по сути идентичны, что открывает пространство для атак типа привязки своего домена к какому-либо функционалу(в видосе это было shopify.cом - на практике что угодно, где так или иначе привязывается свой домен. Ну вы понели.)
Упоминание об этом встречал, кажется уже давно, году еще в 2016, и это был, вроде, отечественный исследователь(не Бум ли случаем? Почему то он в голову пришел, хех. Бум прикольный.)
2. В теории, это валидные мыла, со всеми вытекающими:
lol+(<script>alert(1337)></script>)@lol.com
(<%=7*7%>)@lol.com
Знал об этом давно, но никогда не тестил.
3. +71111111111;phone-context=<script>alert(1)</script> Валид
+71111111111;ext=0 Валид Обход rate limit?
+71111111111;ext=1
Если с первыми двум пунктами понятно, и скорее всего вы уже это видели, то вот третий никогда не встречал ни в одном из открытых репортов.
Такие дела.
#bb
https://www.youtube.com/watch?v=4ZsTKvfP1g0
Суть - о пользе чтения rfc.
Кому то покажется, что это breaking news, но все же, стоит взять на заметку, если вдруг пропустили. Никогда не знаешь, что выстрелит, так?
Хотя скорее всего это имеет академический интерес, и в дикой природе скорее всего встречается в порядке статистической погрешности. Если у вас вдруг есть ссылки на репорты или интересные баги в этом ключе - дайте знать.
Краткая выжимка:
1. Домены lol.com и lol.com. по сути идентичны, что открывает пространство для атак типа привязки своего домена к какому-либо функционалу(в видосе это было shopify.cом - на практике что угодно, где так или иначе привязывается свой домен. Ну вы понели.)
Упоминание об этом встречал, кажется уже давно, году еще в 2016, и это был, вроде, отечественный исследователь(не Бум ли случаем? Почему то он в голову пришел, хех. Бум прикольный.)
2. В теории, это валидные мыла, со всеми вытекающими:
lol+(<script>alert(1337)></script>)@lol.com
(<%=7*7%>)@lol.com
Знал об этом давно, но никогда не тестил.
3. +71111111111;phone-context=<script>alert(1)</script> Валид
+71111111111;ext=0 Валид Обход rate limit?
+71111111111;ext=1
Если с первыми двум пунктами понятно, и скорее всего вы уже это видели, то вот третий никогда не встречал ни в одном из открытых репортов.
Такие дела.
#bb
Последний раз хантил на Яндексе году в 2016-2018, если память не изменяет. Сейчас часто в профильных чатиках видел мнение, что Яндекс долго отвечает и все такое.
Решил проверить это на практике и занес им XSSку на Кинопоиске, о которой упоминал постом чуть выше. Спустя неделю, что довольно хороший срок, пришло письмо, что назначена баунти. Cумма неплохая, я бы даже сказал зрелая, максимально приближенная к реалиям забугорных бб площадок.
Подумал, что неплохо, натравил некоторую автоматику на периметр и доступные интересности из гугла и wayback machine. Получил еще некоторые баги типа оpen redirect и XSS.
Одна из XSSсок была на afisha.yandex.ru. Хорошо, но радость омрачалаcь CSP. Хотя, судя по правилам, можно в теории байпаснуть через вайтлистед домены, о чем и было сообщено с пометкой, что не докрутил, но учитывая значимость сервиса, возможно вы захотите об этом услышать(это норма, как по мне, не стесняйтесь репортить такое, тот же гугл за подобный репорт вас докрутит, поднимет импакт и еще заплатит денюжку).
Буквально через 5 минут прилетело письмо - спасибо, посмотрим. Вдохновившись таким отношением я понял, чем займусь ближайшее время в перерывах между отстраненным созерцанием действительности, размышлениями о вечном и прохождением nioh 2(ни у кого советов и тонкостей по билду в тяжелой броне+топор нет случайно? :3)
Было приятно увидеть в письмо подпись: "Василий Кузнецов, Служба информационной безопасности Яндекса." Я имею ввиду, что он был тогда, в 2016-2018 годах, есть и сейчас. Уверен, это крутой дядька, раз занимается багбаунти направлением в Яндексе до сих пор, спустя столько времени.
#bb
Решил проверить это на практике и занес им XSSку на Кинопоиске, о которой упоминал постом чуть выше. Спустя неделю, что довольно хороший срок, пришло письмо, что назначена баунти. Cумма неплохая, я бы даже сказал зрелая, максимально приближенная к реалиям забугорных бб площадок.
Подумал, что неплохо, натравил некоторую автоматику на периметр и доступные интересности из гугла и wayback machine. Получил еще некоторые баги типа оpen redirect и XSS.
Одна из XSSсок была на afisha.yandex.ru. Хорошо, но радость омрачалаcь CSP. Хотя, судя по правилам, можно в теории байпаснуть через вайтлистед домены, о чем и было сообщено с пометкой, что не докрутил, но учитывая значимость сервиса, возможно вы захотите об этом услышать(это норма, как по мне, не стесняйтесь репортить такое, тот же гугл за подобный репорт вас докрутит, поднимет импакт и еще заплатит денюжку).
Буквально через 5 минут прилетело письмо - спасибо, посмотрим. Вдохновившись таким отношением я понял, чем займусь ближайшее время в перерывах между отстраненным созерцанием действительности, размышлениями о вечном и прохождением nioh 2(ни у кого советов и тонкостей по билду в тяжелой броне+топор нет случайно? :3)
Было приятно увидеть в письмо подпись: "Василий Кузнецов, Служба информационной безопасности Яндекса." Я имею ввиду, что он был тогда, в 2016-2018 годах, есть и сейчас. Уверен, это крутой дядька, раз занимается багбаунти направлением в Яндексе до сих пор, спустя столько времени.
#bb
Бывает приятно открыть запущенный процесс, о котором забыл, и увидеть что там есть что-то интересное.
Это как найти сотку рублей в кармане старой куртки :3
Алсо, держите open redirect:
https://www.tarantool.io/ru/hide_rudoc_banner/?next=%2f%2fgoogle.com
Может, зачейните с чем-то.
#bb
Это как найти сотку рублей в кармане старой куртки :3
Алсо, держите open redirect:
https://www.tarantool.io/ru/hide_rudoc_banner/?next=%2f%2fgoogle.com
Может, зачейните с чем-то.
#bb
О, государство решило наконец-то присоединиться к движухе :3
Минцифры запустило багбаунти на BI.ZONE и bb.standoff365.com
Ололо, набигаем, посоны!
https://t.me/bizone_bb/40
https://t.me/TheStandoff/22356
#bb
Минцифры запустило багбаунти на BI.ZONE и bb.standoff365.com
Ололо, набигаем, посоны!
https://t.me/bizone_bb/40
https://t.me/TheStandoff/22356
#bb
Telegram
BI.ZONE Bug Bounty
🪲 Выплаты до 1 млн в программе Минцифры на BI.ZONE Bug Bounty!
Сегодня у нас большое и очень значимое событие: Минцифры запускает багбаунти на нашей платформе.
Искать баги можно на портале «Госуслуги» и в «Единой системе идентификации и аутентификации»…
Сегодня у нас большое и очень значимое событие: Минцифры запускает багбаунти на нашей платформе.
Искать баги можно на портале «Госуслуги» и в «Единой системе идентификации и аутентификации»…
Опа, оказывается еще тридцаточка подъехала от Яндекса недавно. Хорошо иногда почту проверять.
Чуть выше упоминал(https://t.me/ScriptKiddieNotes/213) - за XSSку на afisha.yandex.ru
Заветного окошка с алертом добиться не удалось, в силу CSP, но были варианты байпасса, о чем упомянул в репорте.
Посоны согласились с доводами и заплатили денюжку. Cпросили, как вышел на уязвимый параметр, какие действия совершал в UI. Ответил, что все гораздо проще.
После процесса разведки были собраны потенциально уязвимые урлы через гугл дорки+wayback machine+gau. И уязвимый параметр дал о себе знать после прогона автоматикой.
Алсо, с Днём святого Валентина. Берегите своих любимых и близких.
Добра :3
#bb
Чуть выше упоминал(https://t.me/ScriptKiddieNotes/213) - за XSSку на afisha.yandex.ru
Заветного окошка с алертом добиться не удалось, в силу CSP, но были варианты байпасса, о чем упомянул в репорте.
Посоны согласились с доводами и заплатили денюжку. Cпросили, как вышел на уязвимый параметр, какие действия совершал в UI. Ответил, что все гораздо проще.
После процесса разведки были собраны потенциально уязвимые урлы через гугл дорки+wayback machine+gau. И уязвимый параметр дал о себе знать после прогона автоматикой.
Алсо, с Днём святого Валентина. Берегите своих любимых и близких.
Добра :3
#bb
Продолжаю публикацию некоторых моих репортов по багбаунти от мелкомягких, чтобы напомнить как читателям, так и самому себе, что майндсет "Баги есть везде!" - лучшее оружие скрипткиддиса/какера/хантера. Особенно, когда опускаются лапки.
Предыдущие ->
https://t.me/ScriptKiddieNotes/157
https://t.me/ScriptKiddieNotes/170
https://t.me/ScriptKiddieNotes/197
Кейс №4
Технически, здесь ничего интересного. Был доступен http метод put, ну и дальше понятно. Наглядно - на скринах. Все что относилось к *.sharepoint.com было "core" по их скоупу, но они как-то отмазались, точнее понизили импакт и баунти не выплатили. Хотя багу исправили, да, в лучших традициях, хех.
А хотел я поделиться следующей мыслью.
Любой хантер, который занимается этим делом хотя бы полгода, должен периодически оглядываться назад и вести своего рода учет/статистику по самым частым и наоборот, самым редким типам уязвимостей в его репортах, с целью выявить свои слабые и сильные стороны. Чтобы поработать над слабыми и увеличить свое КПД. Соглы? Академический подход важен, особенно если ты фуллтайм хантер. Так вот, забавный момент, касательно http put метода. За 7-8 лет хантинга, я встречал эту багу буквально два раза. Первый раз в этом самом репорте для MS, второй, буквально пару недель назад на *.avito.ru. Но во втором случае мне хотя бы присудили баунти.
С одной стороны, это не тот тип уязвимостей, который будешь целенаправленно искать руками, и скорее всего следует отдать его на откуп автоматике, авось выстрелит. С другой - "Баги есть везде!" и они на поверхности, нужно лишь быть во всеоружии, чтобы поймать их.
У вас есть какая-то личная статистика по http put багам? Это я такой невезучий, или это и впрямь раритетная бага?
#bb
Предыдущие ->
https://t.me/ScriptKiddieNotes/157
https://t.me/ScriptKiddieNotes/170
https://t.me/ScriptKiddieNotes/197
Кейс №4
Технически, здесь ничего интересного. Был доступен http метод put, ну и дальше понятно. Наглядно - на скринах. Все что относилось к *.sharepoint.com было "core" по их скоупу, но они как-то отмазались, точнее понизили импакт и баунти не выплатили. Хотя багу исправили, да, в лучших традициях, хех.
А хотел я поделиться следующей мыслью.
Любой хантер, который занимается этим делом хотя бы полгода, должен периодически оглядываться назад и вести своего рода учет/статистику по самым частым и наоборот, самым редким типам уязвимостей в его репортах, с целью выявить свои слабые и сильные стороны. Чтобы поработать над слабыми и увеличить свое КПД. Соглы? Академический подход важен, особенно если ты фуллтайм хантер. Так вот, забавный момент, касательно http put метода. За 7-8 лет хантинга, я встречал эту багу буквально два раза. Первый раз в этом самом репорте для MS, второй, буквально пару недель назад на *.avito.ru. Но во втором случае мне хотя бы присудили баунти.
С одной стороны, это не тот тип уязвимостей, который будешь целенаправленно искать руками, и скорее всего следует отдать его на откуп автоматике, авось выстрелит. С другой - "Баги есть везде!" и они на поверхности, нужно лишь быть во всеоружии, чтобы поймать их.
У вас есть какая-то личная статистика по http put багам? Это я такой невезучий, или это и впрямь раритетная бага?
#bb