ololo.rar
27.1 MB
Всем привет.
Хотелось бы поделиться с вами сокровенным.
Когда ты особенно не умный, но тебя тяготит к делу, от которого горят глаза, то приходится читерить и компенсировать упорством и настойчивостью.
Иногда так бывает, тестишь, например, IDOR, а это не самая сильная бага в твоем арсенале, и возникает потребность что-то быстро читнуть, ну, знаете, чек-лист, да. В памяти не отложилось, но материал под рукой нужен.
Вот, я когда сам учился, сохранял, с одной стороны всякое бесполезное говно, с другой - мнемонические подсказки, к которым обращаюсь до сих пор.
Тут, в архиве к посту, рассортированная на скорую руку подборка того, к чему я периодически обращаюсь.
Тупой карандаш лучше чем острая память.
Что-то потеряло актуальность, что-то нет. Просто я это собирал много лет. Зря добру пропадать, вдруг кому-то пригодится.
А вообще учитесь в академический подход - таблицы с источником там, закладки в браузере, приводите это все в систему, и все такое. Организуйте, в общем, свою личную кладезь справочной информации, чтобы она всегда была под рукой.
Добра :3
Хотелось бы поделиться с вами сокровенным.
Когда ты особенно не умный, но тебя тяготит к делу, от которого горят глаза, то приходится читерить и компенсировать упорством и настойчивостью.
Иногда так бывает, тестишь, например, IDOR, а это не самая сильная бага в твоем арсенале, и возникает потребность что-то быстро читнуть, ну, знаете, чек-лист, да. В памяти не отложилось, но материал под рукой нужен.
Вот, я когда сам учился, сохранял, с одной стороны всякое бесполезное говно, с другой - мнемонические подсказки, к которым обращаюсь до сих пор.
Тут, в архиве к посту, рассортированная на скорую руку подборка того, к чему я периодически обращаюсь.
Тупой карандаш лучше чем острая память.
Что-то потеряло актуальность, что-то нет. Просто я это собирал много лет. Зря добру пропадать, вдруг кому-то пригодится.
А вообще учитесь в академический подход - таблицы с источником там, закладки в браузере, приводите это все в систему, и все такое. Организуйте, в общем, свою личную кладезь справочной информации, чтобы она всегда была под рукой.
Добра :3
Мне тут 39 лет на днях привалило. Вдумчиво похмеляюсь.
Дружаню вот сегодня посадил на поезд до Москвы. Грустно. Не люблю расставаться. Тяготит атмосфера вокзалов. Хотя, это же не только место прощаний, но и встреч.
Разбираю старые архивы, которые скопились. Есть идея поднять все старые репорты, в том числе и и смешные/неудачные, чтобы кто-то другой не набивал шишки. Может, хуевая идея. А может нет.
И я вот чет подумал, что давно никуда не выбирался.
Думаю, вот, следующим летом выбраться в русский Крым. Побродить по местам воинской славы.
Никогда там не был.
Такие дела.
Хохлы, вы же не будете против? ))0
Дружаню вот сегодня посадил на поезд до Москвы. Грустно. Не люблю расставаться. Тяготит атмосфера вокзалов. Хотя, это же не только место прощаний, но и встреч.
Разбираю старые архивы, которые скопились. Есть идея поднять все старые репорты, в том числе и и смешные/неудачные, чтобы кто-то другой не набивал шишки. Может, хуевая идея. А может нет.
И я вот чет подумал, что давно никуда не выбирался.
Думаю, вот, следующим летом выбраться в русский Крым. Побродить по местам воинской славы.
Никогда там не был.
Такие дела.
Хохлы, вы же не будете против? ))0
Минцифры запускает новый скоуп для поиска уязвимостей в государственных/социально значимых проектах типа госуслуг.
https://app.bugbounty.bi.zone/companies -> Минцифры России
https://bugbounty.standoff365.com/programs/ - > фильтруйте по "Новизне"
Расчехляйтесь,товарищ майор Родина-мать зовет!
#bb
https://app.bugbounty.bi.zone/companies -> Минцифры России
https://bugbounty.standoff365.com/programs/ - > фильтруйте по "Новизне"
Расчехляйтесь,
#bb
Надеюсь, у вас все хорошо.
Немного багов перед Новым Годом никому не повредит, тем более, что обещал сделать дисклоуз, а слово надо держать.
Отсылка к https://t.me/ScriptKiddieNotes/229
Srored XSS в функционале поиска.
100k
Пытливый ум мог заметить, что скрин какой-то странный. Ну, так не обрезают картинки с пруфами.
Дело было в том, что задник был вырезаннен намеренно, потому что опытные хантеры по Яндексу сразу поняли бы, что имеет место быть баг в пользовательском поиске. То есть не просто поиск, а пользовательский, настраиваемый.
Далее текст оригинального репорта с пометками в cкобках, чтобы было более понятно.
>Шаги для воспроизведения
>Привет.
>Шаги:
>1. Перейти по PoC url: (По сути конечный результат, на данном этапе может быть непонятно)
>https://yandex.ru/search/site/?text={lol}&searchid=2832732
>2. Кликнуть в поисковую строку, чтобы отобразилась подсказка, XSS тригернется в контексте домена yandex.ru
>3???
>4. Profit!
>Почему:
>1. Cоздаем cвой кастомный поиск на https://site.yandex.ru/ (Яндекс багбаунти энджоер мог и должен был натыкаться на https://site.yandex.ru/. Чтобы ачивнуть ХSS было необходимо добраться до более тонких настроек пользовательского поиска/яузвимых уязвимых полей. Тогда это решалось так - добавляем свой домен, и его же добавляем в исключения, вселенная коллапсирует, и нас пропускает в настройки, что приводит к дополнительным настройкам, там, уже уязвимы поля и просто усидчивость/наблюдательность решает. Ну прост берешь и тыкаешь нагрузку )
>2. В настройках поиска:
>
>Где показывать результаты -> Показать результаты на Яндексе
>
>Поисковые подсказки - > для произвольного поискового запроса, в моем случае это набор "{lol}" добавляем полезную нагрузку в качестве подсказки "><img src=x onerror=alert(document.domain)> и сохраняем. Теперь нагрузка будет показывать при введенем поисковом запросе через подсказку и тригерить XSS. (Например, вводишь символ "a", выпадает полезная нагрузка с XSS, которая не фильтруется и отрабатывает. Вводишь "b/б" - все тоже самое. В итоге при любом вводе первого поискового символа можем добиться XSS)
>
>Тестировалось/воспроизводилось на win 10 64 + Mozilla Browser/Google Chrome
>
>Текущий результат
>https://owasp.org/www-community/attacks/xss/
>
>Ожидаемый результат и рекомендации
>Нет ответа
>
>Тип уязвимости
>Cross Site Scripting (XSS)
>
>Ссылка на скринкаст
>Нет ответа
>
>URL или IP
>https://yandex.ru/search/
Немного багов перед Новым Годом никому не повредит, тем более, что обещал сделать дисклоуз, а слово надо держать.
Отсылка к https://t.me/ScriptKiddieNotes/229
Srored XSS в функционале поиска.
100k
Пытливый ум мог заметить, что скрин какой-то странный. Ну, так не обрезают картинки с пруфами.
Дело было в том, что задник был вырезаннен намеренно, потому что опытные хантеры по Яндексу сразу поняли бы, что имеет место быть баг в пользовательском поиске. То есть не просто поиск, а пользовательский, настраиваемый.
Далее текст оригинального репорта с пометками в cкобках, чтобы было более понятно.
>Шаги для воспроизведения
>Привет.
>Шаги:
>1. Перейти по PoC url: (По сути конечный результат, на данном этапе может быть непонятно)
>https://yandex.ru/search/site/?text={lol}&searchid=2832732
>2. Кликнуть в поисковую строку, чтобы отобразилась подсказка, XSS тригернется в контексте домена yandex.ru
>3???
>4. Profit!
>Почему:
>1. Cоздаем cвой кастомный поиск на https://site.yandex.ru/ (Яндекс багбаунти энджоер мог и должен был натыкаться на https://site.yandex.ru/. Чтобы ачивнуть ХSS было необходимо добраться до более тонких настроек пользовательского поиска/яузвимых уязвимых полей. Тогда это решалось так - добавляем свой домен, и его же добавляем в исключения, вселенная коллапсирует, и нас пропускает в настройки, что приводит к дополнительным настройкам, там, уже уязвимы поля и просто усидчивость/наблюдательность решает. Ну прост берешь и тыкаешь нагрузку )
>2. В настройках поиска:
>
>Где показывать результаты -> Показать результаты на Яндексе
>
>Поисковые подсказки - > для произвольного поискового запроса, в моем случае это набор "{lol}" добавляем полезную нагрузку в качестве подсказки "><img src=x onerror=alert(document.domain)> и сохраняем. Теперь нагрузка будет показывать при введенем поисковом запросе через подсказку и тригерить XSS. (Например, вводишь символ "a", выпадает полезная нагрузка с XSS, которая не фильтруется и отрабатывает. Вводишь "b/б" - все тоже самое. В итоге при любом вводе первого поискового символа можем добиться XSS)
>
>Тестировалось/воспроизводилось на win 10 64 + Mozilla Browser/Google Chrome
>
>Текущий результат
>https://owasp.org/www-community/attacks/xss/
>
>Ожидаемый результат и рекомендации
>Нет ответа
>
>Тип уязвимости
>Cross Site Scripting (XSS)
>
>Ссылка на скринкаст
>Нет ответа
>
>URL или IP
>https://yandex.ru/search/
Посоны из программы по поиску уязвимостей Яндекса порадовали перед НГ, отправив всякие прикольные/памятные вещицы :3
C "Василия Кузнецова" заорал конечно - я до буквально недавнего времени считал, что это реальный человек, а не рабочий псевдоним/позывной, лол.
Если вдруг ты еще не хантил там, то дерзай https://yandex.ru/bugbounty/
#bb
C "Василия Кузнецова" заорал конечно - я до буквально недавнего времени считал, что это реальный человек, а не рабочий псевдоним/позывной, лол.
Если вдруг ты еще не хантил там, то дерзай https://yandex.ru/bugbounty/
#bb
Чтож, новгодние на носу. И пора уходить в закат.
Еще пару багов по Яндексу.
1.
Вторая XSS в функционале поиска. Отсылка к https://t.me/ScriptKiddieNotes/259. Все тоже самое - отправная точка это https://site.yandex.ru/
Настраиваем пользовательский поиск с обязательным условием отображения поисковых результатов на главной Яндекса. В итоге там было еще одно уязвимиое поле, все банально до жути, просто стоило чуть попуститься и придти к тесту спустя некоторе время, чтобя взглянуть свежим взглядом.
Все как мы любим - есть уязвимое поле, есть "></script><svg/onload=alert(1)> и далее вы знаете.
100k.
#bb
Еще пару багов по Яндексу.
1.
Вторая XSS в функционале поиска. Отсылка к https://t.me/ScriptKiddieNotes/259. Все тоже самое - отправная точка это https://site.yandex.ru/
Настраиваем пользовательский поиск с обязательным условием отображения поисковых результатов на главной Яндекса. В итоге там было еще одно уязвимиое поле, все банально до жути, просто стоило чуть попуститься и придти к тесту спустя некоторе время, чтобя взглянуть свежим взглядом.
Все как мы любим - есть уязвимое поле, есть "></script><svg/onload=alert(1)> и далее вы знаете.
100k.
#bb
2. Баг, которым я горжусь, потому что просто разыгралась фантазия.
Отправная точка - Я.Музыка.
Примерный сценарий атаки таков:
- Создаем свой безобидный плейлист, и наполняем его качественным контентом.
- Контент нравится(в теории), его лайкают, по количеству лайков мы можем судить, сколько и как.
- Меняем название этого плейлиста на наше, злобное, с полезноой нагрузкой.
- Имя меняется у всех, кто лайкал, при обновлении странички в браузере
- При генерации кода для вставки на свой сайт не фильтровался юзер инпут и мы могли в названии плейлиста пропихнуть тег <iframe>, закрыть его, и и добавить полезную нагрузку
- Таким образом приходим к тому, что среднестатиcтический пользователь Яндекс.Музыки мог добровольно, без всякой социнжнерии, добавить нагрузку к себе. Ну тут как бы не только XSS, но и что-то типа <?=
Оригинальная картинка для репорта в аттаче.
Сначала оценили в 10k. Я расстроился, ибо это был полет чистой фантазии а не дрочь на параметры и все такое. Потом меня переспросили в чем суть. Я пояснил. Отправили 80k. Я доволен.
#bb
C наступающим и всех благ :3
Отправная точка - Я.Музыка.
Примерный сценарий атаки таков:
- Создаем свой безобидный плейлист, и наполняем его качественным контентом.
- Контент нравится(в теории), его лайкают, по количеству лайков мы можем судить, сколько и как.
- Меняем название этого плейлиста на наше, злобное, с полезноой нагрузкой.
- Имя меняется у всех, кто лайкал, при обновлении странички в браузере
- При генерации кода для вставки на свой сайт не фильтровался юзер инпут и мы могли в названии плейлиста пропихнуть тег <iframe>, закрыть его, и и добавить полезную нагрузку
- Таким образом приходим к тому, что среднестатиcтический пользователь Яндекс.Музыки мог добровольно, без всякой социнжнерии, добавить нагрузку к себе. Ну тут как бы не только XSS, но и что-то типа <?=
$_GET[0];Оригинальная картинка для репорта в аттаче.
Сначала оценили в 10k. Я расстроился, ибо это был полет чистой фантазии а не дрочь на параметры и все такое. Потом меня переспросили в чем суть. Я пояснил. Отправили 80k. Я доволен.
#bb
C наступающим и всех благ :3
Последний пост в этом году :3
Желаю всем причастным к поиску ошибок личностных успехов.
Багхантерам - критов и поменьше дубликатов, аналитикам/триажерам - терпения в общении(ANY UPDATES? ЕСТЬ НОВОСТИ? ХУЛИ НЕ ПЛАТИТЕ, ПЛОТИ!) и прикольных багов, багбаунти-площадкам - богатых клиентов.
Берегите себя и не замёрзнете где-нибудь в сугробе под Серпуховым :3
Так же напоминаю, что на Яндексе проводится очередная сессия с увеличенными выплатами за определенную категорию багов -> https://yandex.ru/bugbounty/i/xss-challenge Я вот уже успел поучаствовать и вам того желаю.
Это весело, стильно, молодёжно.
До встречи в Новом году.
#bb
Желаю всем причастным к поиску ошибок личностных успехов.
Багхантерам - критов и поменьше дубликатов, аналитикам/триажерам - терпения в общении(ANY UPDATES? ЕСТЬ НОВОСТИ? ХУЛИ НЕ ПЛАТИТЕ, ПЛОТИ!) и прикольных багов, багбаунти-площадкам - богатых клиентов.
Берегите себя и не замёрзнете где-нибудь в сугробе под Серпуховым :3
Так же напоминаю, что на Яндексе проводится очередная сессия с увеличенными выплатами за определенную категорию багов -> https://yandex.ru/bugbounty/i/xss-challenge Я вот уже успел поучаствовать и вам того желаю.
Это весело, стильно, молодёжно.
До встречи в Новом году.
#bb
Вот и прошел конкурс Яндека по поиску XSS :3
Мой скромный вклад:
1. https://partner.yandex.ru - сразу дубликат
Искалось ручками. Потел. Обидно.
2. https://business.taxi.yandex.ru/ - принято, триагнуто, потом дубликат. Немношк пригорело.
Искалось ручками. Потел. Обидно.
3. https://market.yandex.ru/ - принято, подтверждено, оплачено(не до конца)
Автоматика :3 210k баунти
Выстрелил https://github.com/devanshbatham/ParamSpider - плюс-минус недавно обновленный.
Все дубликаты - модальное окно. Подсказки/обучалки etc, куда можно занести полезную нагрузку.
______________________________________
Ну а я поленился чуть раньше занести, потому что дорвался до аниме и решил досмотреть онгоинги.
Вывод - кто успел, тот и съел. Так всегда было, так всегда будет.
Такие дела :3
Алсо ,как у вас конкурс прошел - принимали участие, что нового открыли?Кто спиздил мои дубликаты, ммм?
#bb
Мой скромный вклад:
1. https://partner.yandex.ru - сразу дубликат
Искалось ручками. Потел. Обидно.
2. https://business.taxi.yandex.ru/ - принято, триагнуто, потом дубликат. Немношк пригорело.
Искалось ручками. Потел. Обидно.
3. https://market.yandex.ru/ - принято, подтверждено, оплачено(не до конца)
Автоматика :3 210k баунти
Выстрелил https://github.com/devanshbatham/ParamSpider - плюс-минус недавно обновленный.
Все дубликаты - модальное окно. Подсказки/обучалки etc, куда можно занести полезную нагрузку.
______________________________________
Ну а я поленился чуть раньше занести, потому что дорвался до аниме и решил досмотреть онгоинги.
Вывод - кто успел, тот и съел. Так всегда было, так всегда будет.
Такие дела :3
Алсо ,как у вас конкурс прошел - принимали участие, что нового открыли?
#bb
Кстати, посоны с https://bugbounty.standoff365.com/ подвели итоги прошлого года и сформировали ТОП-25.
Ваш скромный слуга, конечно же, попал в него, но есть ньюанс, ха-ха :3
Постараюсь в этом году подтянуться выше.
Алсо, так-то прикольно находиться в компании топовых какеров :3
#bugbounty
Ваш скромный слуга, конечно же, попал в него, но есть ньюанс, ха-ха :3
Постараюсь в этом году подтянуться выше.
Алсо, так-то прикольно находиться в компании топовых какеров :3
#bugbounty