Минцифры запускает новый скоуп для поиска уязвимостей в государственных/социально значимых проектах типа госуслуг.
https://app.bugbounty.bi.zone/companies -> Минцифры России
https://bugbounty.standoff365.com/programs/ - > фильтруйте по "Новизне"
Расчехляйтесь,товарищ майор Родина-мать зовет!
#bb
https://app.bugbounty.bi.zone/companies -> Минцифры России
https://bugbounty.standoff365.com/programs/ - > фильтруйте по "Новизне"
Расчехляйтесь,
#bb
Надеюсь, у вас все хорошо.
Немного багов перед Новым Годом никому не повредит, тем более, что обещал сделать дисклоуз, а слово надо держать.
Отсылка к https://t.me/ScriptKiddieNotes/229
Srored XSS в функционале поиска.
100k
Пытливый ум мог заметить, что скрин какой-то странный. Ну, так не обрезают картинки с пруфами.
Дело было в том, что задник был вырезаннен намеренно, потому что опытные хантеры по Яндексу сразу поняли бы, что имеет место быть баг в пользовательском поиске. То есть не просто поиск, а пользовательский, настраиваемый.
Далее текст оригинального репорта с пометками в cкобках, чтобы было более понятно.
>Шаги для воспроизведения
>Привет.
>Шаги:
>1. Перейти по PoC url: (По сути конечный результат, на данном этапе может быть непонятно)
>https://yandex.ru/search/site/?text={lol}&searchid=2832732
>2. Кликнуть в поисковую строку, чтобы отобразилась подсказка, XSS тригернется в контексте домена yandex.ru
>3???
>4. Profit!
>Почему:
>1. Cоздаем cвой кастомный поиск на https://site.yandex.ru/ (Яндекс багбаунти энджоер мог и должен был натыкаться на https://site.yandex.ru/. Чтобы ачивнуть ХSS было необходимо добраться до более тонких настроек пользовательского поиска/яузвимых уязвимых полей. Тогда это решалось так - добавляем свой домен, и его же добавляем в исключения, вселенная коллапсирует, и нас пропускает в настройки, что приводит к дополнительным настройкам, там, уже уязвимы поля и просто усидчивость/наблюдательность решает. Ну прост берешь и тыкаешь нагрузку )
>2. В настройках поиска:
>
>Где показывать результаты -> Показать результаты на Яндексе
>
>Поисковые подсказки - > для произвольного поискового запроса, в моем случае это набор "{lol}" добавляем полезную нагрузку в качестве подсказки "><img src=x onerror=alert(document.domain)> и сохраняем. Теперь нагрузка будет показывать при введенем поисковом запросе через подсказку и тригерить XSS. (Например, вводишь символ "a", выпадает полезная нагрузка с XSS, которая не фильтруется и отрабатывает. Вводишь "b/б" - все тоже самое. В итоге при любом вводе первого поискового символа можем добиться XSS)
>
>Тестировалось/воспроизводилось на win 10 64 + Mozilla Browser/Google Chrome
>
>Текущий результат
>https://owasp.org/www-community/attacks/xss/
>
>Ожидаемый результат и рекомендации
>Нет ответа
>
>Тип уязвимости
>Cross Site Scripting (XSS)
>
>Ссылка на скринкаст
>Нет ответа
>
>URL или IP
>https://yandex.ru/search/
Немного багов перед Новым Годом никому не повредит, тем более, что обещал сделать дисклоуз, а слово надо держать.
Отсылка к https://t.me/ScriptKiddieNotes/229
Srored XSS в функционале поиска.
100k
Пытливый ум мог заметить, что скрин какой-то странный. Ну, так не обрезают картинки с пруфами.
Дело было в том, что задник был вырезаннен намеренно, потому что опытные хантеры по Яндексу сразу поняли бы, что имеет место быть баг в пользовательском поиске. То есть не просто поиск, а пользовательский, настраиваемый.
Далее текст оригинального репорта с пометками в cкобках, чтобы было более понятно.
>Шаги для воспроизведения
>Привет.
>Шаги:
>1. Перейти по PoC url: (По сути конечный результат, на данном этапе может быть непонятно)
>https://yandex.ru/search/site/?text={lol}&searchid=2832732
>2. Кликнуть в поисковую строку, чтобы отобразилась подсказка, XSS тригернется в контексте домена yandex.ru
>3???
>4. Profit!
>Почему:
>1. Cоздаем cвой кастомный поиск на https://site.yandex.ru/ (Яндекс багбаунти энджоер мог и должен был натыкаться на https://site.yandex.ru/. Чтобы ачивнуть ХSS было необходимо добраться до более тонких настроек пользовательского поиска/яузвимых уязвимых полей. Тогда это решалось так - добавляем свой домен, и его же добавляем в исключения, вселенная коллапсирует, и нас пропускает в настройки, что приводит к дополнительным настройкам, там, уже уязвимы поля и просто усидчивость/наблюдательность решает. Ну прост берешь и тыкаешь нагрузку )
>2. В настройках поиска:
>
>Где показывать результаты -> Показать результаты на Яндексе
>
>Поисковые подсказки - > для произвольного поискового запроса, в моем случае это набор "{lol}" добавляем полезную нагрузку в качестве подсказки "><img src=x onerror=alert(document.domain)> и сохраняем. Теперь нагрузка будет показывать при введенем поисковом запросе через подсказку и тригерить XSS. (Например, вводишь символ "a", выпадает полезная нагрузка с XSS, которая не фильтруется и отрабатывает. Вводишь "b/б" - все тоже самое. В итоге при любом вводе первого поискового символа можем добиться XSS)
>
>Тестировалось/воспроизводилось на win 10 64 + Mozilla Browser/Google Chrome
>
>Текущий результат
>https://owasp.org/www-community/attacks/xss/
>
>Ожидаемый результат и рекомендации
>Нет ответа
>
>Тип уязвимости
>Cross Site Scripting (XSS)
>
>Ссылка на скринкаст
>Нет ответа
>
>URL или IP
>https://yandex.ru/search/
Посоны из программы по поиску уязвимостей Яндекса порадовали перед НГ, отправив всякие прикольные/памятные вещицы :3
C "Василия Кузнецова" заорал конечно - я до буквально недавнего времени считал, что это реальный человек, а не рабочий псевдоним/позывной, лол.
Если вдруг ты еще не хантил там, то дерзай https://yandex.ru/bugbounty/
#bb
C "Василия Кузнецова" заорал конечно - я до буквально недавнего времени считал, что это реальный человек, а не рабочий псевдоним/позывной, лол.
Если вдруг ты еще не хантил там, то дерзай https://yandex.ru/bugbounty/
#bb
Чтож, новгодние на носу. И пора уходить в закат.
Еще пару багов по Яндексу.
1.
Вторая XSS в функционале поиска. Отсылка к https://t.me/ScriptKiddieNotes/259. Все тоже самое - отправная точка это https://site.yandex.ru/
Настраиваем пользовательский поиск с обязательным условием отображения поисковых результатов на главной Яндекса. В итоге там было еще одно уязвимиое поле, все банально до жути, просто стоило чуть попуститься и придти к тесту спустя некоторе время, чтобя взглянуть свежим взглядом.
Все как мы любим - есть уязвимое поле, есть "></script><svg/onload=alert(1)> и далее вы знаете.
100k.
#bb
Еще пару багов по Яндексу.
1.
Вторая XSS в функционале поиска. Отсылка к https://t.me/ScriptKiddieNotes/259. Все тоже самое - отправная точка это https://site.yandex.ru/
Настраиваем пользовательский поиск с обязательным условием отображения поисковых результатов на главной Яндекса. В итоге там было еще одно уязвимиое поле, все банально до жути, просто стоило чуть попуститься и придти к тесту спустя некоторе время, чтобя взглянуть свежим взглядом.
Все как мы любим - есть уязвимое поле, есть "></script><svg/onload=alert(1)> и далее вы знаете.
100k.
#bb
2. Баг, которым я горжусь, потому что просто разыгралась фантазия.
Отправная точка - Я.Музыка.
Примерный сценарий атаки таков:
- Создаем свой безобидный плейлист, и наполняем его качественным контентом.
- Контент нравится(в теории), его лайкают, по количеству лайков мы можем судить, сколько и как.
- Меняем название этого плейлиста на наше, злобное, с полезноой нагрузкой.
- Имя меняется у всех, кто лайкал, при обновлении странички в браузере
- При генерации кода для вставки на свой сайт не фильтровался юзер инпут и мы могли в названии плейлиста пропихнуть тег <iframe>, закрыть его, и и добавить полезную нагрузку
- Таким образом приходим к тому, что среднестатиcтический пользователь Яндекс.Музыки мог добровольно, без всякой социнжнерии, добавить нагрузку к себе. Ну тут как бы не только XSS, но и что-то типа <?=
Оригинальная картинка для репорта в аттаче.
Сначала оценили в 10k. Я расстроился, ибо это был полет чистой фантазии а не дрочь на параметры и все такое. Потом меня переспросили в чем суть. Я пояснил. Отправили 80k. Я доволен.
#bb
C наступающим и всех благ :3
Отправная точка - Я.Музыка.
Примерный сценарий атаки таков:
- Создаем свой безобидный плейлист, и наполняем его качественным контентом.
- Контент нравится(в теории), его лайкают, по количеству лайков мы можем судить, сколько и как.
- Меняем название этого плейлиста на наше, злобное, с полезноой нагрузкой.
- Имя меняется у всех, кто лайкал, при обновлении странички в браузере
- При генерации кода для вставки на свой сайт не фильтровался юзер инпут и мы могли в названии плейлиста пропихнуть тег <iframe>, закрыть его, и и добавить полезную нагрузку
- Таким образом приходим к тому, что среднестатиcтический пользователь Яндекс.Музыки мог добровольно, без всякой социнжнерии, добавить нагрузку к себе. Ну тут как бы не только XSS, но и что-то типа <?=
$_GET[0];Оригинальная картинка для репорта в аттаче.
Сначала оценили в 10k. Я расстроился, ибо это был полет чистой фантазии а не дрочь на параметры и все такое. Потом меня переспросили в чем суть. Я пояснил. Отправили 80k. Я доволен.
#bb
C наступающим и всех благ :3
Последний пост в этом году :3
Желаю всем причастным к поиску ошибок личностных успехов.
Багхантерам - критов и поменьше дубликатов, аналитикам/триажерам - терпения в общении(ANY UPDATES? ЕСТЬ НОВОСТИ? ХУЛИ НЕ ПЛАТИТЕ, ПЛОТИ!) и прикольных багов, багбаунти-площадкам - богатых клиентов.
Берегите себя и не замёрзнете где-нибудь в сугробе под Серпуховым :3
Так же напоминаю, что на Яндексе проводится очередная сессия с увеличенными выплатами за определенную категорию багов -> https://yandex.ru/bugbounty/i/xss-challenge Я вот уже успел поучаствовать и вам того желаю.
Это весело, стильно, молодёжно.
До встречи в Новом году.
#bb
Желаю всем причастным к поиску ошибок личностных успехов.
Багхантерам - критов и поменьше дубликатов, аналитикам/триажерам - терпения в общении(ANY UPDATES? ЕСТЬ НОВОСТИ? ХУЛИ НЕ ПЛАТИТЕ, ПЛОТИ!) и прикольных багов, багбаунти-площадкам - богатых клиентов.
Берегите себя и не замёрзнете где-нибудь в сугробе под Серпуховым :3
Так же напоминаю, что на Яндексе проводится очередная сессия с увеличенными выплатами за определенную категорию багов -> https://yandex.ru/bugbounty/i/xss-challenge Я вот уже успел поучаствовать и вам того желаю.
Это весело, стильно, молодёжно.
До встречи в Новом году.
#bb
Вот и прошел конкурс Яндека по поиску XSS :3
Мой скромный вклад:
1. https://partner.yandex.ru - сразу дубликат
Искалось ручками. Потел. Обидно.
2. https://business.taxi.yandex.ru/ - принято, триагнуто, потом дубликат. Немношк пригорело.
Искалось ручками. Потел. Обидно.
3. https://market.yandex.ru/ - принято, подтверждено, оплачено(не до конца)
Автоматика :3 210k баунти
Выстрелил https://github.com/devanshbatham/ParamSpider - плюс-минус недавно обновленный.
Все дубликаты - модальное окно. Подсказки/обучалки etc, куда можно занести полезную нагрузку.
______________________________________
Ну а я поленился чуть раньше занести, потому что дорвался до аниме и решил досмотреть онгоинги.
Вывод - кто успел, тот и съел. Так всегда было, так всегда будет.
Такие дела :3
Алсо ,как у вас конкурс прошел - принимали участие, что нового открыли?Кто спиздил мои дубликаты, ммм?
#bb
Мой скромный вклад:
1. https://partner.yandex.ru - сразу дубликат
Искалось ручками. Потел. Обидно.
2. https://business.taxi.yandex.ru/ - принято, триагнуто, потом дубликат. Немношк пригорело.
Искалось ручками. Потел. Обидно.
3. https://market.yandex.ru/ - принято, подтверждено, оплачено(не до конца)
Автоматика :3 210k баунти
Выстрелил https://github.com/devanshbatham/ParamSpider - плюс-минус недавно обновленный.
Все дубликаты - модальное окно. Подсказки/обучалки etc, куда можно занести полезную нагрузку.
______________________________________
Ну а я поленился чуть раньше занести, потому что дорвался до аниме и решил досмотреть онгоинги.
Вывод - кто успел, тот и съел. Так всегда было, так всегда будет.
Такие дела :3
Алсо ,как у вас конкурс прошел - принимали участие, что нового открыли?
#bb
Кстати, посоны с https://bugbounty.standoff365.com/ подвели итоги прошлого года и сформировали ТОП-25.
Ваш скромный слуга, конечно же, попал в него, но есть ньюанс, ха-ха :3
Постараюсь в этом году подтянуться выше.
Алсо, так-то прикольно находиться в компании топовых какеров :3
#bugbounty
Ваш скромный слуга, конечно же, попал в него, но есть ньюанс, ха-ха :3
Постараюсь в этом году подтянуться выше.
Алсо, так-то прикольно находиться в компании топовых какеров :3
#bugbounty