Марафон подходит к концу, осталось всего-то десять дней. Можно подвести промежуточные итоги.
Он пошел не очень по плану, и так получилось, что вместо фокусировки на именно поиске багов на гуглу, было принято решение уделить большую часть времени на теорию, чтобы доказать прежде самому себе, что старого пса еще можно научить новым фокусам. И попрыгать по разным целям, для практики.
Вот, буквально сегодня отловил XSSку на кинопоиске. Пришлось за ней побегать, да.
В любом случае, этот был позитивный опыт, ящитаю.
Алсо, после марофона сяду ваять презентацию и пояснительную записку для пхд. Честно говоря, я в душе не ебу, как это делать(в чем делать презентацию, что писать, понравится ли организаторам, ебануть ли больше мемов, или придерживаться утонченного изящного стиля, ха-ха, рассказать о чем точно хорошо знаешь уже, или вступить на неизведанную территорию с шансом подобосраться - столько вопросов и так мало ответов).
Такие дела.
P.S. А вы че делаете, ВКшечку небось ковыряете?
#bb
Он пошел не очень по плану, и так получилось, что вместо фокусировки на именно поиске багов на гуглу, было принято решение уделить большую часть времени на теорию, чтобы доказать прежде самому себе, что старого пса еще можно научить новым фокусам. И попрыгать по разным целям, для практики.
Вот, буквально сегодня отловил XSSку на кинопоиске. Пришлось за ней побегать, да.
В любом случае, этот был позитивный опыт, ящитаю.
Алсо, после марофона сяду ваять презентацию и пояснительную записку для пхд. Честно говоря, я в душе не ебу, как это делать(в чем делать презентацию, что писать, понравится ли организаторам, ебануть ли больше мемов, или придерживаться утонченного изящного стиля, ха-ха, рассказать о чем точно хорошо знаешь уже, или вступить на неизведанную территорию с шансом подобосраться - столько вопросов и так мало ответов).
Такие дела.
P.S. А вы че делаете, ВКшечку небось ковыряете?
#bb
Я тут разгребал некоторые материалы к ознакомлению, и наткнулся на одной из вкладок в браузере видос, который висит там уже давно.
https://www.youtube.com/watch?v=4ZsTKvfP1g0
Суть - о пользе чтения rfc.
Кому то покажется, что это breaking news, но все же, стоит взять на заметку, если вдруг пропустили. Никогда не знаешь, что выстрелит, так?
Хотя скорее всего это имеет академический интерес, и в дикой природе скорее всего встречается в порядке статистической погрешности. Если у вас вдруг есть ссылки на репорты или интересные баги в этом ключе - дайте знать.
Краткая выжимка:
1. Домены lol.com и lol.com. по сути идентичны, что открывает пространство для атак типа привязки своего домена к какому-либо функционалу(в видосе это было shopify.cом - на практике что угодно, где так или иначе привязывается свой домен. Ну вы понели.)
Упоминание об этом встречал, кажется уже давно, году еще в 2016, и это был, вроде, отечественный исследователь(не Бум ли случаем? Почему то он в голову пришел, хех. Бум прикольный.)
2. В теории, это валидные мыла, со всеми вытекающими:
lol+(<script>alert(1337)></script>)@lol.com
(<%=7*7%>)@lol.com
Знал об этом давно, но никогда не тестил.
3. +71111111111;phone-context=<script>alert(1)</script> Валид
+71111111111;ext=0 Валид Обход rate limit?
+71111111111;ext=1
Если с первыми двум пунктами понятно, и скорее всего вы уже это видели, то вот третий никогда не встречал ни в одном из открытых репортов.
Такие дела.
#bb
https://www.youtube.com/watch?v=4ZsTKvfP1g0
Суть - о пользе чтения rfc.
Кому то покажется, что это breaking news, но все же, стоит взять на заметку, если вдруг пропустили. Никогда не знаешь, что выстрелит, так?
Хотя скорее всего это имеет академический интерес, и в дикой природе скорее всего встречается в порядке статистической погрешности. Если у вас вдруг есть ссылки на репорты или интересные баги в этом ключе - дайте знать.
Краткая выжимка:
1. Домены lol.com и lol.com. по сути идентичны, что открывает пространство для атак типа привязки своего домена к какому-либо функционалу(в видосе это было shopify.cом - на практике что угодно, где так или иначе привязывается свой домен. Ну вы понели.)
Упоминание об этом встречал, кажется уже давно, году еще в 2016, и это был, вроде, отечественный исследователь(не Бум ли случаем? Почему то он в голову пришел, хех. Бум прикольный.)
2. В теории, это валидные мыла, со всеми вытекающими:
lol+(<script>alert(1337)></script>)@lol.com
(<%=7*7%>)@lol.com
Знал об этом давно, но никогда не тестил.
3. +71111111111;phone-context=<script>alert(1)</script> Валид
+71111111111;ext=0 Валид Обход rate limit?
+71111111111;ext=1
Если с первыми двум пунктами понятно, и скорее всего вы уже это видели, то вот третий никогда не встречал ни в одном из открытых репортов.
Такие дела.
#bb
Последний раз хантил на Яндексе году в 2016-2018, если память не изменяет. Сейчас часто в профильных чатиках видел мнение, что Яндекс долго отвечает и все такое.
Решил проверить это на практике и занес им XSSку на Кинопоиске, о которой упоминал постом чуть выше. Спустя неделю, что довольно хороший срок, пришло письмо, что назначена баунти. Cумма неплохая, я бы даже сказал зрелая, максимально приближенная к реалиям забугорных бб площадок.
Подумал, что неплохо, натравил некоторую автоматику на периметр и доступные интересности из гугла и wayback machine. Получил еще некоторые баги типа оpen redirect и XSS.
Одна из XSSсок была на afisha.yandex.ru. Хорошо, но радость омрачалаcь CSP. Хотя, судя по правилам, можно в теории байпаснуть через вайтлистед домены, о чем и было сообщено с пометкой, что не докрутил, но учитывая значимость сервиса, возможно вы захотите об этом услышать(это норма, как по мне, не стесняйтесь репортить такое, тот же гугл за подобный репорт вас докрутит, поднимет импакт и еще заплатит денюжку).
Буквально через 5 минут прилетело письмо - спасибо, посмотрим. Вдохновившись таким отношением я понял, чем займусь ближайшее время в перерывах между отстраненным созерцанием действительности, размышлениями о вечном и прохождением nioh 2(ни у кого советов и тонкостей по билду в тяжелой броне+топор нет случайно? :3)
Было приятно увидеть в письмо подпись: "Василий Кузнецов, Служба информационной безопасности Яндекса." Я имею ввиду, что он был тогда, в 2016-2018 годах, есть и сейчас. Уверен, это крутой дядька, раз занимается багбаунти направлением в Яндексе до сих пор, спустя столько времени.
#bb
Решил проверить это на практике и занес им XSSку на Кинопоиске, о которой упоминал постом чуть выше. Спустя неделю, что довольно хороший срок, пришло письмо, что назначена баунти. Cумма неплохая, я бы даже сказал зрелая, максимально приближенная к реалиям забугорных бб площадок.
Подумал, что неплохо, натравил некоторую автоматику на периметр и доступные интересности из гугла и wayback machine. Получил еще некоторые баги типа оpen redirect и XSS.
Одна из XSSсок была на afisha.yandex.ru. Хорошо, но радость омрачалаcь CSP. Хотя, судя по правилам, можно в теории байпаснуть через вайтлистед домены, о чем и было сообщено с пометкой, что не докрутил, но учитывая значимость сервиса, возможно вы захотите об этом услышать(это норма, как по мне, не стесняйтесь репортить такое, тот же гугл за подобный репорт вас докрутит, поднимет импакт и еще заплатит денюжку).
Буквально через 5 минут прилетело письмо - спасибо, посмотрим. Вдохновившись таким отношением я понял, чем займусь ближайшее время в перерывах между отстраненным созерцанием действительности, размышлениями о вечном и прохождением nioh 2(ни у кого советов и тонкостей по билду в тяжелой броне+топор нет случайно? :3)
Было приятно увидеть в письмо подпись: "Василий Кузнецов, Служба информационной безопасности Яндекса." Я имею ввиду, что он был тогда, в 2016-2018 годах, есть и сейчас. Уверен, это крутой дядька, раз занимается багбаунти направлением в Яндексе до сих пор, спустя столько времени.
#bb
Бывает приятно открыть запущенный процесс, о котором забыл, и увидеть что там есть что-то интересное.
Это как найти сотку рублей в кармане старой куртки :3
Алсо, держите open redirect:
https://www.tarantool.io/ru/hide_rudoc_banner/?next=%2f%2fgoogle.com
Может, зачейните с чем-то.
#bb
Это как найти сотку рублей в кармане старой куртки :3
Алсо, держите open redirect:
https://www.tarantool.io/ru/hide_rudoc_banner/?next=%2f%2fgoogle.com
Может, зачейните с чем-то.
#bb
О, государство решило наконец-то присоединиться к движухе :3
Минцифры запустило багбаунти на BI.ZONE и bb.standoff365.com
Ололо, набигаем, посоны!
https://t.me/bizone_bb/40
https://t.me/TheStandoff/22356
#bb
Минцифры запустило багбаунти на BI.ZONE и bb.standoff365.com
Ололо, набигаем, посоны!
https://t.me/bizone_bb/40
https://t.me/TheStandoff/22356
#bb
Telegram
BI.ZONE Bug Bounty
🪲 Выплаты до 1 млн в программе Минцифры на BI.ZONE Bug Bounty!
Сегодня у нас большое и очень значимое событие: Минцифры запускает багбаунти на нашей платформе.
Искать баги можно на портале «Госуслуги» и в «Единой системе идентификации и аутентификации»…
Сегодня у нас большое и очень значимое событие: Минцифры запускает багбаунти на нашей платформе.
Искать баги можно на портале «Госуслуги» и в «Единой системе идентификации и аутентификации»…
Опа, оказывается еще тридцаточка подъехала от Яндекса недавно. Хорошо иногда почту проверять.
Чуть выше упоминал(https://t.me/ScriptKiddieNotes/213) - за XSSку на afisha.yandex.ru
Заветного окошка с алертом добиться не удалось, в силу CSP, но были варианты байпасса, о чем упомянул в репорте.
Посоны согласились с доводами и заплатили денюжку. Cпросили, как вышел на уязвимый параметр, какие действия совершал в UI. Ответил, что все гораздо проще.
После процесса разведки были собраны потенциально уязвимые урлы через гугл дорки+wayback machine+gau. И уязвимый параметр дал о себе знать после прогона автоматикой.
Алсо, с Днём святого Валентина. Берегите своих любимых и близких.
Добра :3
#bb
Чуть выше упоминал(https://t.me/ScriptKiddieNotes/213) - за XSSку на afisha.yandex.ru
Заветного окошка с алертом добиться не удалось, в силу CSP, но были варианты байпасса, о чем упомянул в репорте.
Посоны согласились с доводами и заплатили денюжку. Cпросили, как вышел на уязвимый параметр, какие действия совершал в UI. Ответил, что все гораздо проще.
После процесса разведки были собраны потенциально уязвимые урлы через гугл дорки+wayback machine+gau. И уязвимый параметр дал о себе знать после прогона автоматикой.
Алсо, с Днём святого Валентина. Берегите своих любимых и близких.
Добра :3
#bb
Продолжаю публикацию некоторых моих репортов по багбаунти от мелкомягких, чтобы напомнить как читателям, так и самому себе, что майндсет "Баги есть везде!" - лучшее оружие скрипткиддиса/какера/хантера. Особенно, когда опускаются лапки.
Предыдущие ->
https://t.me/ScriptKiddieNotes/157
https://t.me/ScriptKiddieNotes/170
https://t.me/ScriptKiddieNotes/197
Кейс №4
Технически, здесь ничего интересного. Был доступен http метод put, ну и дальше понятно. Наглядно - на скринах. Все что относилось к *.sharepoint.com было "core" по их скоупу, но они как-то отмазались, точнее понизили импакт и баунти не выплатили. Хотя багу исправили, да, в лучших традициях, хех.
А хотел я поделиться следующей мыслью.
Любой хантер, который занимается этим делом хотя бы полгода, должен периодически оглядываться назад и вести своего рода учет/статистику по самым частым и наоборот, самым редким типам уязвимостей в его репортах, с целью выявить свои слабые и сильные стороны. Чтобы поработать над слабыми и увеличить свое КПД. Соглы? Академический подход важен, особенно если ты фуллтайм хантер. Так вот, забавный момент, касательно http put метода. За 7-8 лет хантинга, я встречал эту багу буквально два раза. Первый раз в этом самом репорте для MS, второй, буквально пару недель назад на *.avito.ru. Но во втором случае мне хотя бы присудили баунти.
С одной стороны, это не тот тип уязвимостей, который будешь целенаправленно искать руками, и скорее всего следует отдать его на откуп автоматике, авось выстрелит. С другой - "Баги есть везде!" и они на поверхности, нужно лишь быть во всеоружии, чтобы поймать их.
У вас есть какая-то личная статистика по http put багам? Это я такой невезучий, или это и впрямь раритетная бага?
#bb
Предыдущие ->
https://t.me/ScriptKiddieNotes/157
https://t.me/ScriptKiddieNotes/170
https://t.me/ScriptKiddieNotes/197
Кейс №4
Технически, здесь ничего интересного. Был доступен http метод put, ну и дальше понятно. Наглядно - на скринах. Все что относилось к *.sharepoint.com было "core" по их скоупу, но они как-то отмазались, точнее понизили импакт и баунти не выплатили. Хотя багу исправили, да, в лучших традициях, хех.
А хотел я поделиться следующей мыслью.
Любой хантер, который занимается этим делом хотя бы полгода, должен периодически оглядываться назад и вести своего рода учет/статистику по самым частым и наоборот, самым редким типам уязвимостей в его репортах, с целью выявить свои слабые и сильные стороны. Чтобы поработать над слабыми и увеличить свое КПД. Соглы? Академический подход важен, особенно если ты фуллтайм хантер. Так вот, забавный момент, касательно http put метода. За 7-8 лет хантинга, я встречал эту багу буквально два раза. Первый раз в этом самом репорте для MS, второй, буквально пару недель назад на *.avito.ru. Но во втором случае мне хотя бы присудили баунти.
С одной стороны, это не тот тип уязвимостей, который будешь целенаправленно искать руками, и скорее всего следует отдать его на откуп автоматике, авось выстрелит. С другой - "Баги есть везде!" и они на поверхности, нужно лишь быть во всеоружии, чтобы поймать их.
У вас есть какая-то личная статистика по http put багам? Это я такой невезучий, или это и впрямь раритетная бага?
#bb
This media is not supported in your browser
VIEW IN TELEGRAM
3 недели, посоны.
Осталось 3 недели, чтобы успеть прислать доклад на phd.
Вдруг чота захотелось туда.
Там Москва. Столица нашей Родины. Купола и тихие улочки в Печатниках.
Там мой лучший друг живет, с которым знакомы 20+ лет.
Хочется тряхнуть стариной, выйти на доклад с Аской Сорью Ленгли(лучшей девочкой) на груди, чтобы потом, сказать самому себе - я сделал это!
И чтобы зумеры трясли покрашенными гривами, а тяночки хотели от тебя детей.
Чтобы когда бреешься по утрам - было не стыдно смотерть в отражение.
Типа я на phd выступил - там хоть трава не расти! Я смог!
И уехать домой к себе в тихий и спокойный Мухосранск.
И вяло теребить вялую лицензию на burp suite на старости лет, рассказыавая внукам, как ломал гугл.
Сейм?
#bb
Осталось 3 недели, чтобы успеть прислать доклад на phd.
Вдруг чота захотелось туда.
Там Москва. Столица нашей Родины. Купола и тихие улочки в Печатниках.
Там мой лучший друг живет, с которым знакомы 20+ лет.
Хочется тряхнуть стариной, выйти на доклад с Аской Сорью Ленгли(лучшей девочкой) на груди, чтобы потом, сказать самому себе - я сделал это!
И чтобы зумеры трясли покрашенными гривами, а тяночки хотели от тебя детей.
Чтобы когда бреешься по утрам - было не стыдно смотерть в отражение.
Типа я на phd выступил - там хоть трава не расти! Я смог!
И уехать домой к себе в тихий и спокойный Мухосранск.
И вяло теребить вялую лицензию на burp suite на старости лет, рассказыавая внукам, как ломал гугл.
Сейм?
#bb
Посоны, по итогам активности за прошлый год на g/vrp святой западный барин прислал бусы и допомогу высокотехнологичные игрушки, лол.
Спасибо, барин!
С другой стороны, в который раз убеждаюсь, что g/vrp одна из немногих забугорных площадок, которым не стыдно занести баги. Потому что они любят баги так же, как и вы, и им все равно, откуда вы.
Правда, с посылкой вышла заминка. Мне отписали, сказав, что вот прямо сейчас не можем вам отправить(тактично умолчав о причинах), типа отложим для вас до лучших времен, пусть полежит на складе. Подозреваю, из-за наличия электроники в отправлении, вроде запретили такое отсылать. Я предложил вариант - переслать через 3 лицо. Они пошли на встречу и согласились(!). В итоге swag добрался домой через знакомого из Армении.
Такие дела :3
#bb
Спасибо, барин!
С другой стороны, в который раз убеждаюсь, что g/vrp одна из немногих забугорных площадок, которым не стыдно занести баги. Потому что они любят баги так же, как и вы, и им все равно, откуда вы.
Правда, с посылкой вышла заминка. Мне отписали, сказав, что вот прямо сейчас не можем вам отправить(тактично умолчав о причинах), типа отложим для вас до лучших времен, пусть полежит на складе. Подозреваю, из-за наличия электроники в отправлении, вроде запретили такое отсылать. Я предложил вариант - переслать через 3 лицо. Они пошли на встречу и согласились(!). В итоге swag добрался домой через знакомого из Армении.
Такие дела :3
#bb
Media is too big
VIEW IN TELEGRAM
Дарова, посоны.
У меня тут какая-то чушь нарисовалась, может кто-то подскажет, куда посмотреть/покопать.
Суть такова.
Есть потенциально уязвимый параметр в GET запросе. Стек технологий неизвестен.
GET /lol/?lol=(select*from(select(sleep(12)))a) -> ответ 12 секунд
Радостно потираю ручки, иду тестировать дальше, и понимаю, что точно не MySQL/MSSSQL. Обмякаю.
Думаю, что может, какая слепая инъекция кода
GET /lol/?lol=sleep(12) -> ответ уже 36 секунд, x3 то есть. Да и на code injection непохоже, судя по дальнейшим тестам. Обмякаю.
Что думаете? Что бы вы сделали в таком случае?
#bb
У меня тут какая-то чушь нарисовалась, может кто-то подскажет, куда посмотреть/покопать.
Суть такова.
Есть потенциально уязвимый параметр в GET запросе. Стек технологий неизвестен.
GET /lol/?lol=(select*from(select(sleep(12)))a) -> ответ 12 секунд
Радостно потираю ручки, иду тестировать дальше, и понимаю, что точно не MySQL/MSSSQL. Обмякаю.
Думаю, что может, какая слепая инъекция кода
GET /lol/?lol=sleep(12) -> ответ уже 36 секунд, x3 то есть. Да и на code injection непохоже, судя по дальнейшим тестам. Обмякаю.
Что думаете? Что бы вы сделали в таком случае?
#bb