Я теперь хороший мальчик, и запрашиваю дисклоузы только по щелчку пальцев по носу/с величайшего разрешения.
Давайте посмотрим, что мне ответят :3
#bb
Давайте посмотрим, что мне ответят :3
#bb
Гойда!
После небольшого затишья, связанного с окончанием phd12 и первого закрытого хакса от standoff365, вновь начинается движ.
А это значит, что пора сбросить летнюю полудрёму, и расчехлять Burp Suite.
https://t.me/standoff_365_chat/7871
Проснулись, потянулись, подготовили рабочее место(делюсь своим на пикче, кстати) и вперед искать баги.
Самые успешные получат инвайт и смогутутонуть пьяными в Черном море поехать на второй хакс в Сочи.
#bb
После небольшого затишья, связанного с окончанием phd12 и первого закрытого хакса от standoff365, вновь начинается движ.
А это значит, что пора сбросить летнюю полудрёму, и расчехлять Burp Suite.
https://t.me/standoff_365_chat/7871
Проснулись, потянулись, подготовили рабочее место(делюсь своим на пикче, кстати) и вперед искать баги.
Самые успешные получат инвайт и смогут
#bb
Есть одна тема, которая не часто поднимается в отечеcтвенных тг-каналах, посвященных багбаунти.
Я говорю про ментальное/психическое и физическое здоровье багхантеров. Full-time багхантеров.
Тех, кто добровольно посвятил этому делу всего себя, со страстью, опаляющей всех вокруг.
Это основной источник дохода. Наш выбор. Наше выживание.
Все мы любим багхантинг - это дело, это призвание, деньги, слава, и.. ссоженные дофаминовые рецепторы.
Кому-нибудь будет интересно почитать мои мысли об этом?
#bb
Я говорю про ментальное/психическое и физическое здоровье багхантеров. Full-time багхантеров.
Тех, кто добровольно посвятил этому делу всего себя, со страстью, опаляющей всех вокруг.
Это основной источник дохода. Наш выбор. Наше выживание.
Все мы любим багхантинг - это дело, это призвание, деньги, слава, и.. ссоженные дофаминовые рецепторы.
Кому-нибудь будет интересно почитать мои мысли об этом?
#bb
Дорогие друзья, всё!
Я словил вялого, выгорел. 7 баллов из 10.
Это были тяжелые 2 года. Пидорение с h1, неопределенность, неуверенность в завтрашнем дне. Хорошо, что бизнес, как и природа не терпит пустоты, и наши кабанчики подсуетились и открыли кучу площадок-агрегаторов.
Первый хакс, первое пхд.
Вижу запрос в бурпе, и хочется сразу в петельку прыгнуть нах.
Как только восстановлюсь, а по другому и быть не может(нужно вставать и идти дальше),то вот как раз и поговорим о том, о чем я упоминал в предыдущем посте.
Берегите себя и своих близких. Спасибо, что вы есть.
#bb
Я словил вялого, выгорел. 7 баллов из 10.
Это были тяжелые 2 года. Пидорение с h1, неопределенность, неуверенность в завтрашнем дне. Хорошо, что бизнес, как и природа не терпит пустоты, и наши кабанчики подсуетились и открыли кучу площадок-агрегаторов.
Первый хакс, первое пхд.
Вижу запрос в бурпе, и хочется сразу в петельку прыгнуть нах.
Как только восстановлюсь, а по другому и быть не может(нужно вставать и идти дальше),то вот как раз и поговорим о том, о чем я упоминал в предыдущем посте.
Берегите себя и своих близких. Спасибо, что вы есть.
#bb
На связи.
Собственно, по теме поста выше -> https://t.me/ScriptKiddieNotes/289
Все нижеизложенное носит субъективный характер и не претендует на истину в последней инстанции. Скорее всего это просто "ошибка выжившего", поскольку у меня "стоит" на багбаунти, как таковое, спустя 8 лет после начала. Но надеюсь, что начинающим багхантерам, а мой канал ориентирован именно на них, что-то будет полезно.
С другой стороны, ньюфаги не знают, олдфаги не помнят.
Мы разные(нас объединяет лишь то, что мы кожанные мешки с костями с общим набором ДНК, это да) - темперамент, физическое развитие, вкусы, предпочтения, социальная/экономическая среда взросления, etc. И каждый из нас по разному переносит стрессы и усталость.
Уверен, что успешный и продуктивный багхантинг зиждется на трёх столпах. Организfция рабочего места, физическое состояние, психологическое состояние. Так или иначе, это советы по преодолению физической и ментальной усталости("выгоранию"), так, как я их вижу.
1. Организация рабочего места
Я люблю профессионалов своего дела. Неважно, о ком идет речь - разнорабочий или какой-то ололо труженник интеллеткуального фронта. Если к тебе приходит сантехник, в чистой спецовке, который деловито разворачивает свой набор блестящих инструментов, что-то там делает, а потом вежливо уходит, то кроме очарования за наблюдением рабочего процесса ты ничего не испытаешь.
Твердо убежден, что рабочее место и инструменты багхантера должны быть в порядке. Вот об этом и поговорим в первой части.
Ты сферический студент-зумер 5 курса в сферическом ваккуме, который решил после защиты диплома сделать паузу после учебы, и заняться багхантингом параллельно ища работу по специальности? Или наоборот, скуфидон 35+, которого заебало все вокруг и ты ищешь что-то новое?
С первых заработанных денег не трать все сразу на алкоголь/траву/кокс/женщин с низкой социальной ответственностью, а съезжай подальше, чтобы не стать героем тех самых паст с двача про тётю Сраку, мамку, вечно пилящую тебя, орущих детей, родственников, которые приходят на праздники и ломают твои аниме фигурки. Никто не должен ебать тебе мозги, нужно спокойствие. Тебе нужны:
- Стабильный, широкий канал(провайдер).
- Свой угол(неважно, комната или съемная квартира, главное, чтобы ты мог проснуться, и сказать, мне тут уютно, пойду подрочу в присядку)
- Железо
Насчет железа. Игровые ноутбуки сразу нахуй. Ну, если ты не конченный дегенерат, который решил наклеить хакерские стикеры на свой купленный на авите макбук, чтобы выебнуться перед телками. Надеюсь, меня такие не читают.
Тебе нужно:
- Настольная система с mid-tower корпусом(компромисс между мобильностью и рабочей лошадкой), с минимум 32-64GB на борту(инструменты жрут много памяти), материнка с возможностью апгрейда(когда подзаработаешь чуть денег), шустрый процессор со встройкой, чтобы играть в старые вины, а 4080 ты покупать еще не готов. Плюс SSD.
- Хорошее анатомическое кресло
- Удобная клавиатурa
- Монитор, от которого не ослепнешь, пялясь в него по несколько часов кряду
Ну и отдельно:
- Лицензия на BurpSuite(на первое время подойдет и пиратка, как старый "морской волк" я такое одобряю, но стабильный канал обновления, плагины - решают)
#bb
Собственно, по теме поста выше -> https://t.me/ScriptKiddieNotes/289
Все нижеизложенное носит субъективный характер и не претендует на истину в последней инстанции. Скорее всего это просто "ошибка выжившего", поскольку у меня "стоит" на багбаунти, как таковое, спустя 8 лет после начала. Но надеюсь, что начинающим багхантерам, а мой канал ориентирован именно на них, что-то будет полезно.
С другой стороны, ньюфаги не знают, олдфаги не помнят.
Мы разные(нас объединяет лишь то, что мы кожанные мешки с костями с общим набором ДНК, это да) - темперамент, физическое развитие, вкусы, предпочтения, социальная/экономическая среда взросления, etc. И каждый из нас по разному переносит стрессы и усталость.
Уверен, что успешный и продуктивный багхантинг зиждется на трёх столпах. Организfция рабочего места, физическое состояние, психологическое состояние. Так или иначе, это советы по преодолению физической и ментальной усталости("выгоранию"), так, как я их вижу.
1. Организация рабочего места
Я люблю профессионалов своего дела. Неважно, о ком идет речь - разнорабочий или какой-то ололо труженник интеллеткуального фронта. Если к тебе приходит сантехник, в чистой спецовке, который деловито разворачивает свой набор блестящих инструментов, что-то там делает, а потом вежливо уходит, то кроме очарования за наблюдением рабочего процесса ты ничего не испытаешь.
Твердо убежден, что рабочее место и инструменты багхантера должны быть в порядке. Вот об этом и поговорим в первой части.
Ты сферический студент-зумер 5 курса в сферическом ваккуме, который решил после защиты диплома сделать паузу после учебы, и заняться багхантингом параллельно ища работу по специальности? Или наоборот, скуфидон 35+, которого заебало все вокруг и ты ищешь что-то новое?
С первых заработанных денег не трать все сразу на алкоголь/траву/кокс/женщин с низкой социальной ответственностью, а съезжай подальше, чтобы не стать героем тех самых паст с двача про тётю Сраку, мамку, вечно пилящую тебя, орущих детей, родственников, которые приходят на праздники и ломают твои аниме фигурки. Никто не должен ебать тебе мозги, нужно спокойствие. Тебе нужны:
- Стабильный, широкий канал(провайдер).
- Свой угол(неважно, комната или съемная квартира, главное, чтобы ты мог проснуться, и сказать, мне тут уютно, пойду подрочу в присядку)
- Железо
Насчет железа. Игровые ноутбуки сразу нахуй. Ну, если ты не конченный дегенерат, который решил наклеить хакерские стикеры на свой купленный на авите макбук, чтобы выебнуться перед телками. Надеюсь, меня такие не читают.
Тебе нужно:
- Настольная система с mid-tower корпусом(компромисс между мобильностью и рабочей лошадкой), с минимум 32-64GB на борту(инструменты жрут много памяти), материнка с возможностью апгрейда(когда подзаработаешь чуть денег), шустрый процессор со встройкой, чтобы играть в старые вины, а 4080 ты покупать еще не готов. Плюс SSD.
- Хорошее анатомическое кресло
- Удобная клавиатурa
- Монитор, от которого не ослепнешь, пялясь в него по несколько часов кряду
Ну и отдельно:
- Лицензия на BurpSuite(на первое время подойдет и пиратка, как старый "морской волк" я такое одобряю, но стабильный канал обновления, плагины - решают)
#bb
Внимание, рулетка:
Последние цифры поста(время) определят твое мировоззрние и судьбу на следующий год.
1: Законопослушный добрый
2: Законопослушный нейтральный
3: Законопослушный злой
4: Нейтральный добрый
5: Истинно нейтральный
6: Нейтральный злой
7: Хаотичный добрый
8: Хаотичный нейтральный
9: Хаотичный злой
0: Полуорк/варвар с 3 харизмы 3 мудрости 3 интеллект
Дабл: Личинка иллитида
Трипл: Лаэзель затаскивает тебя в свою палатку
Ролл.
Последние цифры поста(время) определят твое мировоззрние и судьбу на следующий год.
1: Законопослушный добрый
2: Законопослушный нейтральный
3: Законопослушный злой
4: Нейтральный добрый
5: Истинно нейтральный
6: Нейтральный злой
7: Хаотичный добрый
8: Хаотичный нейтральный
9: Хаотичный злой
0: Полуорк/варвар с 3 харизмы 3 мудрости 3 интеллект
Дабл: Личинка иллитида
Трипл: Лаэзель затаскивает тебя в свою палатку
Ролл.
This media is not supported in your browser
VIEW IN TELEGRAM
Как раз под партийное исследование подземелий.
Если понравилось, гуглите "Маклэйн Димер/Guild Wars"
#music
Если понравилось, гуглите "Маклэйн Димер/Guild Wars"
#music
Чтож, лето пролетело, надо и честь знать. Пора приниматься за работу.
Проснулись, потянулись.
Особо никаких планов на текущий год нет - поиск багов, моральное разложение, самокопание, рефлексия, игры, аниме, донат посонам на фронт, отпраздновать день варенья(40 лет в этом году, как никак) с друзяшками в сентябре.
Разве что будет интересно отстраненно созерцать за развитием отечественной багбаунти движухи в текущем году.
Хотелось бы увидеть конкуренцию, от которой выиграют все. И чтобы госуха была. Чтобы товарищ майор был доволен и примеривал звезды для подполковника, а то выше. Ну и оффзон было бы неплохо посетить, чтобы залутать бесплатную футболку, а то мои старые изрядно поистрепались, хех. Ну а phd я уже был, хех.
В планах на неделю/две - дисклоуз XSSкок с Яндекса на главной, дописать пост про физическое/ментальное здоровье фулл-тайм багхантера, ну и поржать над хохлами, которые, как известно, пиздец какие дегенераты.
#bb
Проснулись, потянулись.
Особо никаких планов на текущий год нет - поиск багов, моральное разложение, самокопание, рефлексия, игры, аниме, донат посонам на фронт, отпраздновать день варенья(40 лет в этом году, как никак) с друзяшками в сентябре.
Разве что будет интересно отстраненно созерцать за развитием отечественной багбаунти движухи в текущем году.
Хотелось бы увидеть конкуренцию, от которой выиграют все. И чтобы госуха была. Чтобы товарищ майор был доволен и примеривал звезды для подполковника, а то выше. Ну и оффзон было бы неплохо посетить, чтобы залутать бесплатную футболку, а то мои старые изрядно поистрепались, хех. Ну а phd я уже был, хех.
В планах на неделю/две - дисклоуз XSSкок с Яндекса на главной, дописать пост про физическое/ментальное здоровье фулл-тайм багхантера, ну и поржать над хохлами, которые, как известно, пиздец какие дегенераты.
#bb
Многие из нас пользуются готовыми инструментами, проверенными временем и опытом других багхнантеров.
Только это, just in case, перед использованием не забыайте прогонять запросы через свое прокси, тот же бурп подойдет, чтобы внимательнее рассмотреть отправляемые запросы.
А еще лучше, возьмите за правило явно задавать параметры, типа user-agenta явно, а не юзать по дефолту.
Наример, известный многим инструмент ffuf по дефолту отправляет примерно следующий user-agent: Fuzz Faster U Fool v2.0.0-dev
Однако:
ffuf -w C:\Users\lalka\Desktop\burp\wfuzz.txt -mc 200,403,500 -c -o C:\Users\lalka\Downloads\ffuf.txt -fl 0,8,1 -u http://target/FUZZ
и
ffuf -w C:\Users\lalka\Desktop\burp\wfuzz.txt -mc 200,403,500 -c -o C:\Users\lalka\Downloads\ffuf.txt -fl 0,8,126 -u http://target/FUZZ -H "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.5790.171 Safari/537.36"
могут и будут отдавать кардинально разные результаты, особенно, если вы примелькались.
По ту сторону далеко не дураки сидят, и внести условный regexp по строке "fuzz" ничего не стоит. Вам будет казаться, что все ок, софт отработал как и должно, тем более если не прибанили в связи с количеством/скоростью запросов с одной машины.
Чем более популярнее инструмент, тем больше шансов, что ему начнут противодействовать, как только он обретает популярность.
Тот же sqlmap, без параметра --random-agent, будет отсылать легко детектящийся заголовок и скорее всего вы соснете, даже если скуля там есть.
Никогда не запускайте sqlmap без --random-agent.
#bb
Только это, just in case, перед использованием не забыайте прогонять запросы через свое прокси, тот же бурп подойдет, чтобы внимательнее рассмотреть отправляемые запросы.
А еще лучше, возьмите за правило явно задавать параметры, типа user-agenta явно, а не юзать по дефолту.
Наример, известный многим инструмент ffuf по дефолту отправляет примерно следующий user-agent: Fuzz Faster U Fool v2.0.0-dev
Однако:
ffuf -w C:\Users\lalka\Desktop\burp\wfuzz.txt -mc 200,403,500 -c -o C:\Users\lalka\Downloads\ffuf.txt -fl 0,8,1 -u http://target/FUZZ
и
ffuf -w C:\Users\lalka\Desktop\burp\wfuzz.txt -mc 200,403,500 -c -o C:\Users\lalka\Downloads\ffuf.txt -fl 0,8,126 -u http://target/FUZZ -H "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.5790.171 Safari/537.36"
могут и будут отдавать кардинально разные результаты, особенно, если вы примелькались.
По ту сторону далеко не дураки сидят, и внести условный regexp по строке "fuzz" ничего не стоит. Вам будет казаться, что все ок, софт отработал как и должно, тем более если не прибанили в связи с количеством/скоростью запросов с одной машины.
Чем более популярнее инструмент, тем больше шансов, что ему начнут противодействовать, как только он обретает популярность.
Тот же sqlmap, без параметра --random-agent, будет отсылать легко детектящийся заголовок и скорее всего вы соснете, даже если скуля там есть.
Никогда не запускайте sqlmap без --random-agent.
#bb
This media is not supported in your browser
VIEW IN TELEGRAM
Чет задумался.
Забавно.
Получается 6 лет прошло. От и до:
От
https://2ch.hk/b/arch/2017-01-20/res/144869013.html (Двач - на острие инфобеза, лооол)
->
до
https://xakep.ru/2023/06/27/phd12-10-reports/#toc04
Если брать отсчет от h1 то, почитай, все 8(восемь).
Как же время летит.
Я пиздец как всем благодарен, особенно тем, кто учил скули крутить, еще с античата.
FAZA02, да.
Ну, вот union+all+1,2,3+--+
Колонки там, хуе-мое, вывод на страницу.
Когда еще вывод прямо на странице был.
Да, были времена.
Интересно, что с нами будет еще лет через 10?
Будем ли мы улыбаться друг другу, когда встретимся? Будем ли мы вспоминать старые, добрые времена, зная, что нас связывает общая тайна?
#bb
Забавно.
Получается 6 лет прошло. От и до:
От
https://2ch.hk/b/arch/2017-01-20/res/144869013.html (Двач - на острие инфобеза, лооол)
->
до
https://xakep.ru/2023/06/27/phd12-10-reports/#toc04
Если брать отсчет от h1 то, почитай, все 8(восемь).
Как же время летит.
Я пиздец как всем благодарен, особенно тем, кто учил скули крутить, еще с античата.
FAZA02, да.
Ну, вот union+all+1,2,3+--+
Колонки там, хуе-мое, вывод на страницу.
Когда еще вывод прямо на странице был.
Да, были времена.
Интересно, что с нами будет еще лет через 10?
Будем ли мы улыбаться друг другу, когда встретимся? Будем ли мы вспоминать старые, добрые времена, зная, что нас связывает общая тайна?
#bb
ololo.rar
27.1 MB
Всем привет.
Хотелось бы поделиться с вами сокровенным.
Когда ты особенно не умный, но тебя тяготит к делу, от которого горят глаза, то приходится читерить и компенсировать упорством и настойчивостью.
Иногда так бывает, тестишь, например, IDOR, а это не самая сильная бага в твоем арсенале, и возникает потребность что-то быстро читнуть, ну, знаете, чек-лист, да. В памяти не отложилось, но материал под рукой нужен.
Вот, я когда сам учился, сохранял, с одной стороны всякое бесполезное говно, с другой - мнемонические подсказки, к которым обращаюсь до сих пор.
Тут, в архиве к посту, рассортированная на скорую руку подборка того, к чему я периодически обращаюсь.
Тупой карандаш лучше чем острая память.
Что-то потеряло актуальность, что-то нет. Просто я это собирал много лет. Зря добру пропадать, вдруг кому-то пригодится.
А вообще учитесь в академический подход - таблицы с источником там, закладки в браузере, приводите это все в систему, и все такое. Организуйте, в общем, свою личную кладезь справочной информации, чтобы она всегда была под рукой.
Добра :3
Хотелось бы поделиться с вами сокровенным.
Когда ты особенно не умный, но тебя тяготит к делу, от которого горят глаза, то приходится читерить и компенсировать упорством и настойчивостью.
Иногда так бывает, тестишь, например, IDOR, а это не самая сильная бага в твоем арсенале, и возникает потребность что-то быстро читнуть, ну, знаете, чек-лист, да. В памяти не отложилось, но материал под рукой нужен.
Вот, я когда сам учился, сохранял, с одной стороны всякое бесполезное говно, с другой - мнемонические подсказки, к которым обращаюсь до сих пор.
Тут, в архиве к посту, рассортированная на скорую руку подборка того, к чему я периодически обращаюсь.
Тупой карандаш лучше чем острая память.
Что-то потеряло актуальность, что-то нет. Просто я это собирал много лет. Зря добру пропадать, вдруг кому-то пригодится.
А вообще учитесь в академический подход - таблицы с источником там, закладки в браузере, приводите это все в систему, и все такое. Организуйте, в общем, свою личную кладезь справочной информации, чтобы она всегда была под рукой.
Добра :3
Мне тут 39 лет на днях привалило. Вдумчиво похмеляюсь.
Дружаню вот сегодня посадил на поезд до Москвы. Грустно. Не люблю расставаться. Тяготит атмосфера вокзалов. Хотя, это же не только место прощаний, но и встреч.
Разбираю старые архивы, которые скопились. Есть идея поднять все старые репорты, в том числе и и смешные/неудачные, чтобы кто-то другой не набивал шишки. Может, хуевая идея. А может нет.
И я вот чет подумал, что давно никуда не выбирался.
Думаю, вот, следующим летом выбраться в русский Крым. Побродить по местам воинской славы.
Никогда там не был.
Такие дела.
Хохлы, вы же не будете против? ))0
Дружаню вот сегодня посадил на поезд до Москвы. Грустно. Не люблю расставаться. Тяготит атмосфера вокзалов. Хотя, это же не только место прощаний, но и встреч.
Разбираю старые архивы, которые скопились. Есть идея поднять все старые репорты, в том числе и и смешные/неудачные, чтобы кто-то другой не набивал шишки. Может, хуевая идея. А может нет.
И я вот чет подумал, что давно никуда не выбирался.
Думаю, вот, следующим летом выбраться в русский Крым. Побродить по местам воинской славы.
Никогда там не был.
Такие дела.
Хохлы, вы же не будете против? ))0
Минцифры запускает новый скоуп для поиска уязвимостей в государственных/социально значимых проектах типа госуслуг.
https://app.bugbounty.bi.zone/companies -> Минцифры России
https://bugbounty.standoff365.com/programs/ - > фильтруйте по "Новизне"
Расчехляйтесь,товарищ майор Родина-мать зовет!
#bb
https://app.bugbounty.bi.zone/companies -> Минцифры России
https://bugbounty.standoff365.com/programs/ - > фильтруйте по "Новизне"
Расчехляйтесь,
#bb
Надеюсь, у вас все хорошо.
Немного багов перед Новым Годом никому не повредит, тем более, что обещал сделать дисклоуз, а слово надо держать.
Отсылка к https://t.me/ScriptKiddieNotes/229
Srored XSS в функционале поиска.
100k
Пытливый ум мог заметить, что скрин какой-то странный. Ну, так не обрезают картинки с пруфами.
Дело было в том, что задник был вырезаннен намеренно, потому что опытные хантеры по Яндексу сразу поняли бы, что имеет место быть баг в пользовательском поиске. То есть не просто поиск, а пользовательский, настраиваемый.
Далее текст оригинального репорта с пометками в cкобках, чтобы было более понятно.
>Шаги для воспроизведения
>Привет.
>Шаги:
>1. Перейти по PoC url: (По сути конечный результат, на данном этапе может быть непонятно)
>https://yandex.ru/search/site/?text={lol}&searchid=2832732
>2. Кликнуть в поисковую строку, чтобы отобразилась подсказка, XSS тригернется в контексте домена yandex.ru
>3???
>4. Profit!
>Почему:
>1. Cоздаем cвой кастомный поиск на https://site.yandex.ru/ (Яндекс багбаунти энджоер мог и должен был натыкаться на https://site.yandex.ru/. Чтобы ачивнуть ХSS было необходимо добраться до более тонких настроек пользовательского поиска/яузвимых уязвимых полей. Тогда это решалось так - добавляем свой домен, и его же добавляем в исключения, вселенная коллапсирует, и нас пропускает в настройки, что приводит к дополнительным настройкам, там, уже уязвимы поля и просто усидчивость/наблюдательность решает. Ну прост берешь и тыкаешь нагрузку )
>2. В настройках поиска:
>
>Где показывать результаты -> Показать результаты на Яндексе
>
>Поисковые подсказки - > для произвольного поискового запроса, в моем случае это набор "{lol}" добавляем полезную нагрузку в качестве подсказки "><img src=x onerror=alert(document.domain)> и сохраняем. Теперь нагрузка будет показывать при введенем поисковом запросе через подсказку и тригерить XSS. (Например, вводишь символ "a", выпадает полезная нагрузка с XSS, которая не фильтруется и отрабатывает. Вводишь "b/б" - все тоже самое. В итоге при любом вводе первого поискового символа можем добиться XSS)
>
>Тестировалось/воспроизводилось на win 10 64 + Mozilla Browser/Google Chrome
>
>Текущий результат
>https://owasp.org/www-community/attacks/xss/
>
>Ожидаемый результат и рекомендации
>Нет ответа
>
>Тип уязвимости
>Cross Site Scripting (XSS)
>
>Ссылка на скринкаст
>Нет ответа
>
>URL или IP
>https://yandex.ru/search/
Немного багов перед Новым Годом никому не повредит, тем более, что обещал сделать дисклоуз, а слово надо держать.
Отсылка к https://t.me/ScriptKiddieNotes/229
Srored XSS в функционале поиска.
100k
Пытливый ум мог заметить, что скрин какой-то странный. Ну, так не обрезают картинки с пруфами.
Дело было в том, что задник был вырезаннен намеренно, потому что опытные хантеры по Яндексу сразу поняли бы, что имеет место быть баг в пользовательском поиске. То есть не просто поиск, а пользовательский, настраиваемый.
Далее текст оригинального репорта с пометками в cкобках, чтобы было более понятно.
>Шаги для воспроизведения
>Привет.
>Шаги:
>1. Перейти по PoC url: (По сути конечный результат, на данном этапе может быть непонятно)
>https://yandex.ru/search/site/?text={lol}&searchid=2832732
>2. Кликнуть в поисковую строку, чтобы отобразилась подсказка, XSS тригернется в контексте домена yandex.ru
>3???
>4. Profit!
>Почему:
>1. Cоздаем cвой кастомный поиск на https://site.yandex.ru/ (Яндекс багбаунти энджоер мог и должен был натыкаться на https://site.yandex.ru/. Чтобы ачивнуть ХSS было необходимо добраться до более тонких настроек пользовательского поиска/яузвимых уязвимых полей. Тогда это решалось так - добавляем свой домен, и его же добавляем в исключения, вселенная коллапсирует, и нас пропускает в настройки, что приводит к дополнительным настройкам, там, уже уязвимы поля и просто усидчивость/наблюдательность решает. Ну прост берешь и тыкаешь нагрузку )
>2. В настройках поиска:
>
>Где показывать результаты -> Показать результаты на Яндексе
>
>Поисковые подсказки - > для произвольного поискового запроса, в моем случае это набор "{lol}" добавляем полезную нагрузку в качестве подсказки "><img src=x onerror=alert(document.domain)> и сохраняем. Теперь нагрузка будет показывать при введенем поисковом запросе через подсказку и тригерить XSS. (Например, вводишь символ "a", выпадает полезная нагрузка с XSS, которая не фильтруется и отрабатывает. Вводишь "b/б" - все тоже самое. В итоге при любом вводе первого поискового символа можем добиться XSS)
>
>Тестировалось/воспроизводилось на win 10 64 + Mozilla Browser/Google Chrome
>
>Текущий результат
>https://owasp.org/www-community/attacks/xss/
>
>Ожидаемый результат и рекомендации
>Нет ответа
>
>Тип уязвимости
>Cross Site Scripting (XSS)
>
>Ссылка на скринкаст
>Нет ответа
>
>URL или IP
>https://yandex.ru/search/