несколько полезных расширений для багбаунти для поиска скрытых инпутов, токенов и прочей фигни, прикольная дополнительная методология, когда все прошлые методы поиска уже заебали

ссылки на дополнения кидаю для фаерфокса, кому нужно под свой другой браузер сами поищете в магазине расширений

https://addons.mozilla.org/ru/firefox/addon/xnl-reveal/

https://addons.mozilla.org/ru/firefox/addon/trufflehog/

https://addons.mozilla.org/ru/firefox/addon/findsomething/
👍12
если кто начинает влетать в багхантинг, то постараюсь вам на основе кучи своих информов сказать, что не стоит сдавать на бб, хотя может казаться опасным функционалом

но не забывай что правила работают не так однозначно как они есть, порой у тебя могут принять даже то, чего нет в их скоупе доменов, или скоупе правил сдачи уязвимостей. теперь сугубо мой опыт.

в 90% случаев не стоит сдавать на ББ

1) загрузка файлов, если должна быть условно фотка и должны приниматься только png, но ты можешь загрузить хоть docx, pdf, xml и прочее, без прямого импакта не примут, докручивай до чего то более крутого, иначе даже не сдавай

2) всякие торчащие конфиги раскрывающие фулл стек и версию библиотек в проекте компании, казалось бы 1 раз приняли и оплатили достойно, но остальные 5 раз за то же ставили информ, от программы зависит, но я бы больше не сдавал

3) конфиги с апи ключами, никогда не было чтобы их приняли, и зачастую они действительно оставлены специально, даже если он статический, рабочий, и забытый в комментариях библы хдд

4) перебор учеток по веб сокетам или пост запросам чтобы узнать численный айди и страницу человека в мессенджерах, где страница не должна показываться, считается брутом, и не принимается правилами даже так

5) неправильные настройки найденного тобой crossdomain.xml тоже не принимаются, по крайней мере не было на моем опыте
🔥2👍1
6) если есть чат с оператором, и веб сокет не проверяет целостность сообщений после отправки, можно перехватить сообщение после отправки, и изменить его, даже не смотря на то что такого функционала не предусмотрено, тоже не оплачивается, маленький импакт.

7) в поисковых системах по типу авито, озона и прочего есть сайтмапы позволяющие смотреть что ищут пользователи, но обезличенно, такое тоже не принимают

8) утечки данных сотрудников принимаются только в большом количестве, в маленьком ты получишь фразу "готовы принять, но примем как инфо"

9) если ты при регистрации можешь сделать ник <script>alert(1)</script>, а при попытке изменить ник видишь что такие символы запрещено вводить, это тоже будет информом, нужна эксплуатация уязы

это сугубо мой личный опыт, может такое и прокнет в другой программе.
но хотелось бы чтобы багхантеры не совершали моих ошибок.

а если кто тут целенаправленно за знаниями, не поленитесь прочесть все 3 моих канала, остальные два в закрепе, там 700+ постов по разным сферам хакинга которые я когда то успел написать
🔥41
История из моего сна как я сдавал RCE реакт 10.0
и получил дубликат на несуществующую задачу.

Представьте ситуацию: вы багхантер, мониторите свежие CVE, и вот выходит горячая уязвимость — RCE в популярном фреймворке, CVSS 10.0. Классика жанра.
Вы быстро проверяете скоуп одной из программ на баг-баунти площадке, находите уязвимый эндпоинт, валидируете эксплуатацию, пишете отчёт. Сдаёте через ~10 часов после публикации CVE. Вроде бы всё по феншую ибо в правилах написано что поставят дубликат если она известна компании и исправляется

День 1-4: Тишина
Отчёт принят на рассмотрение. Нормально, бывает.

День 5: Первый поворот
Приходит ответ: статус "Информационный". Причина — "проблема не представляет действительную угрозу безопасности" и "не рассматриваются уязвимости 0-day или 1-day, информация о которых получена командой безопасности из открытых источников".

Окей, но стоп. В правилах программы чёрным по белому написано что общедоступные 0-day/1-day уязы также будут отнесены к дубликатам в течение пары дней после ее выхода в общий доступ, в случае если уязвимость была известна ИБ команде компании и ведутся работы над её устранением.

То есть по логике: если они знали — должен быть дубликат на их внутреннюю задачу. Не "инфо", а именно "дубликат".

Вопрос вендору
Спрашиваю: почему информ, а не дубликат с пруфом на вашу задачу, как написано в правилах?

Стебный ответ: "Мы с удовольствием поставим дубль внутренним решением, заместо выставленного ранее статуса инфо."

Отлично, жду.
Развязка
Через помощь площадки приходит уточнение от представителя: "Задачу не поставили — не успели."
То есть:

Они ссылаются на правило про дубликаты
По правилам дубликат ставится на существующую задачу
Задачи нет, потому что "не успели"
Дубликат всё равно ставят

Формально — дубликат на пустоту. Фактически — нашли способ не платить за валидный RCE.

Выводы для коллег

CVE-хантинг в багбаунти — лотерея. Даже если вы первый, вендор может сослаться на "внутреннюю осведомлённость" без доказательств.
Правила работают в одну сторону. Вас тыкают носом в правила, но когда указываешь на конкретный пункт в свою пользу — находятся творческие интерпретации.

Сначала тестируй на мелочах. Прежде чем сдавать критикал, посмотри как вендор реагирует на Low/Medium. Это покажет их честность.
Фиксируй всё. Скриншоты переписки, таймстемпы, состояние отчёта. Пригодится.
Площадка не всегда поможет. Арбитраж — это хорошо, но если вендор крупный партнёр площадки, расклад может быть не в вашу пользу.

Ну и понятное дело я бы не советовал тестить новые CVE и и сразу бежать делать компании безопаснее, пусть сами защищаются

Вот такой вот интересный сон
Все совпадения с реальными компаниями случайны. Это художественный вымысел про гипотетическую ситуацию в параллельной вселенной.
😢7🖕4🤝3💯1🤨1
что нового произошло, в общем я же цели ставил - найти до конца этого квартала 3 отчета на багбаунти ВК, начал ровно за 25 дней до конца, сроки поджимали.

за 15 дней работы я действительно нашел эти 3 отчета, все они оказались дубликатами, за один даже парнишке 30к заплатили, впрочем пулю в висок мне пустили, был бы удачливее, мерч бы получил, все же там разница порой была в днях между нашими отчетами

вк действительно защищенная площадка, но если искать на ней - уязвимости до сих пор есть, csrf, xss и прочие, просто нужен особый подход, и копать в глубь апи, а не искать на самом сайте.

хардкорный влет в программу тоже мне дал тонну знаний, каждый день начинается с поиска новых методологий и поиска новых векторов атак, не жалею о таком опыте, хоть и фейловом

проханчу фастом все другие программы на багбаунти и пойду поднимать теорию + впервые проходить лабы и ctf по вебу, все же пора стать выше на несколько голов чем я есть.
🔥3
payloads xss Heartbleed.txt
4.5 KB
ну и как как всегда, чтобы пост не был совсем бесполезным, заливаю свои отобранные xss пейлоады, каждый из них обходит определенную регулярку ваф, на обучающих тестовых стендах каждый пейлоад проверял, именно ими я нашел рефлектед на авито, купере и майле, но сейчас вряд ли прокнут :)
5🔥1
генерация нового материала для саморазвития.

попробовал через базовую нейросетку сгенерировать себе книжку по багбаунти и веб хакингу на основе последних имеющихся знаниях о сфере

ограничения бесплатной версии конечно не дают раскрыть фулл потенциал этой ветки обучения, но то что выдает базовая нейросеть мне очень зашло.

довольно жизненно, вайбово и правдиво, и впринципе даже красиво.
тем у кого есть прошка, можете скрафтить норм версию, странно что никто еще казалось бы до такого не додумался.. ибо портсвиггеры и прочие платформы довольно сухие, не хватает какой то человечности что ли...
7
This media is not supported in your browser
VIEW IN TELEGRAM
зашел почитать официальную доку гугла, у них xss прокает в самых базовых местах хд, нигде от багхантинга не уйти

https://web.dev/learn/images/history
😁65
с наступающим мои смурфы, как всегда завершаю год подытоживающим постом и пожеланиями

год кончился, я не добился своих целей, не стал на голову выше, наверно это скорее год неудач, но…

менее счастливым я не стал, я наоборот стал ценить то что у меня есть, радоваться любой мелочи, и ценить людей вокруг.

раньше я считал, то что навыки и знания это самое главное, но это не так.

важно любить этот мир, своих близких, быть добрым, относиться к миру проще

у людей часто может появиться высокомерие из-за своих достижений, что они начинают относиться к людям или другим существам неподобающе

каждая форма жизни заслуживает уважения и любви, по какой то причине люди возомнили себя богами

поэтому желаю вам в новом году научиться любить себя, людей вокруг и сам мир, все же нам всем повезло встретиться именно в эту эпоху и в это время
21🎄5🔥2
через 2 дня поеду покорять москву, рассмотрю вакансии пентестера, тестировщика или триажера (удаленка / мск),
может встретимся с кем то из вас, открыт для любого движа

может даже скоро придется пожить хардкорной жизнью хакера-бомжа на теплотрассе (шутка) , поэтому кто желает может поддержать вашего сенсея скинув пару шекелей
только смотрите хуйней не страдайте, я то знаю вас😳

+79889815666 - ВТБ
2200 2404 2282 6509

сча разгребусь с кучей дел, снова наделаю вам статеек по хакингу, осинту и прочим приколюхам, подождите немного

p.s братишка постом ниже, отжимайся соточку
8🐳2
Forwarded from roleGIVEME 500 bucks
Новогодний багхантерский подкаст☃️

В этом выпуске подкаста три непонятых гения русского ИБ собрались, чтобы обсудить прошедший год и важные вопросы багбаунти.

Всем приятного просмотра!
За каждый репост rolegiv_BugBounty будет отжиматься 100 раз...

Участники:
🔵 rolegiv_BugBounty
🔵 MrKaban4ik
🔵 Lanyac

🔗Ссылки
💙 VK Видео
📹 YouTube
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7
переехал к другу, надо было обзавестись свободным входом в подъезд

скопировал ключик от домофона - не открывает

базовые контакты флиппера не смогли открыть домофон (как и 90% других, ибо слишком короткие)

чекнули цены ibutton модуля - от 1к рублей минималка

по итогу решили сделать сами из того, что лежит дома, по себестоимости вышло практически бесплатно, ну может рублей 5, интересно рынок устроен
4😁1
This media is not supported in your browser
VIEW IN TELEGRAM
8
This media is not supported in your browser
VIEW IN TELEGRAM
10
This media is not supported in your browser
VIEW IN TELEGRAM
8🔥3