Бесконечно можно смотреть на три вещи: как горит огонь, как течет вода и как Burp Suite Pro на Java пытается найти свободные ресурсы.

Я часто сталкиваюсь с проблемой, что люди которые уходят работать на полный день - не могут открыто и спокойно искать уязвимости в свободное от работы время.
Часто это ограничение связано с контрактом, который они подписывают с организацией. Есть несколько причин почему самой организации в которой вы работаете - это может быть нужно и даже выгодно.

1) Самое простое конечно это саморазвитие. Нельзя искать баги без прокачки скила, без чтения статей и новых техник. Так не работает. Собственно осуществляя эту активность регулярно, сотрудник в перспективе имеет постоянный и современный взгляд на вещи и на уязвимости.

2) Неоднократно из-за моей увлеченности в поиске уязвимостей, я находил уязвимости в сервисах организации в которой работаю. И происходило это из-за моей вне рабочей активности. Но каждый раз когда я что-то исследую я думаю - а нет ли в моей компании той или иной проблемы. И такие уязвимости находились.

3) Но более уникальным примером может стать история, когда я в результате своих исследований нашел уязвимость, которая по сути являлась supply chain атакой. Уязвимость затрагивала организацию для которой я хотел сделать ответственное раскрытие. Но когда я оценивал проблему, то заметил очень знакомое слово. Этим словом было название подрядчика, который привлекался в моей организации. Оказалось что "случайно взломанная" компания имеет второе юридическое лицо, которое и осуществляет работу в виде подрядчика для организации в которой я работал. В итоге в свободное от работы время я нашел очень серьезную проблему (CVSS 10.0) которую вряд ли бы нашел занимаясь основными обязанностями. И даже бы оценка вендора/подрядчика не показала бы эту проблему. Т.к оценка вендора не учитывает другие юридические лица и потенциальные связи нескольких юридических лиц. Ощущение было такое что я достал кролика из шляпы. Ну и ребята которым пришлось звонить в выходные ночью были очень удивлены и благодарны.

PS: Аналогичный пост закинул в твиттер. Можно полайкать чтоб больше рисёрчеров смогло объяснить своим менеджерам почему research activities не должны иметь ограничения по времени. А результаты могут быть полезны абсолютно всем.

Похоже что если я соберусь навестить свой родной город, то мой визит будет выглядеть вот так.
https://youtu.be/Da1NzX74T0c

Занимался я тут недавно поиском моих любимых уязвимостей. И так получилось что обнаружил какой-то богом забытый Docker Hub репозиторий принадлежащий одной компании.
Чутье мне подсказывало что надо делать

docker pull example/servicetool:latest

и потом смотреть что там внутри есть. Но совершенно точно и очевидно, что внутри надо как-то поиск автоматизировать. На помощь пришел SecretScanner (https://github.com/deepfence/SecretScanner)
Достаточно просто сделать:

docker run -it --rm --name=deepfence-secretscanner -v $(pwd):/home/deepfence/output -v /var/run/docker.sock:/var/run/docker.sock deepfenceio/deepfence_secret_scanner:latest -image-name example:latest

и в результатах будут всякие интересные находки.
Объем фолзов будет приличный. Но кто ищет - тот всегда найдет 😉

PS: Этот тул пришел на помощь мне значительно раньше по рабочим вопросам. Но пользовался один раз и вот когда припёрло снова, с трудом вспомнил как там и чего. Так что этот пост скорее напоминалка самому себе. Но и вы пользуйтесь. Я например не припомню репортов про leaked secrets from public dockerhub. Вполне себе логичный и валидный дополнительный вектор при реконе.

Отличное чтиво от @ByQwert
https://medium.com/@byq/from-open-redirect-to-rce-in-one-week-66a7f73fd082

Очередная попытка засэйвить кое-какие знания. На этот раз история про то как подружить api-doc от swagger и Burp Suite.
Тыкая в ночи на кнопочки, наткнулся на одном проекте на возможность прочитать

api/v2/api-docs

где в заголовке json было написано swagger 2.0. В этот момент это прям желанный файлик был, т.к сервис полностью блэкбокс. И даже стандартного юзера на вход у меня небыло. Пришлось проявлять изобретательность.
Ну быстрым гуглением обнаружилось что если отослать нужный запрос на API спеку в OpenAPI Parser(официальный BApp Extension) то можно получить сразу всё дерево api в Site map. Но в моей ситуации произошел облом. Extension сыпал ошибки и не мог подсосать описание API. А мне прям очень надо было, т.к это позволяло протестить ранее не известные методы. Руками добавлять все было не варик. Свыше 500 различных новых запросов с различными параметрами. Ребята из комьюнити отписались что сталкивались с подобными трудностями. И в конечном счете они шли в православный Postman и протыкивали всю апиху руками из Postman. Меня такие перспективы совсем не радовали.
В итоге не без помощи коллег по цеху удалось наткнуться на очень полезный сервисы от rhinosecuritylabs. По сути они написали тул, который парсит json на все возможные запросы. А потом отсылает их на эндпоинт, что позволяет Burp proxy увидеть их и затрэкать всё это безумие в site map.
Порядок действий:
1) качаем json спеку нашей API.
2) дописываем в нее (в моем случае этот кусок отсутствовал)

"host": "api.ourtargethere.com",
  "schemes": [
    "https"
  ],

3) копируем себе целиком весь json в буфер обмена.
4*) Открываем https://rhinosecuritylabs.github.io/Swagger-EZ/ и запихиваем наше содержимое json в поле.
5) Пытаемся настроить CORS для сервиса через автозамену в бурпе. Я в этой ситуации поел говна и примерно день думал над тем как решить, чтоб через проксю у меня шли не только OPTIONS запросы. Я так и не понял почему Regex для Match/Replace не помогли мне в этом. Спасением стал плагин на Firefox под названием CORS Everywhere.
6) После того как порешали с CORS или включили плагин CORS Everywhere, нужно ткнуть кнопочку Auto Fill и затем нажать Send All. В Site map сразу же появятся новые пути и новые запросы.
*Для владельцев шапочки из фольги, можно поднять свой локалхвост с этим сервисом дабы не сливать спеку API ребятам из rhinosecuritylabs.(https://github.com/RhinoSecurityLabs/Swagger-EZ)
PS: Если есть более гениальные решения - буду рад почитать в комментах.

Достаточно быстро предыдущий пост получил продолжение.
Чуваки из security команды не стали включать душнил. Поблагодарили за проделанную работу и спокойно триажнули багу, предвариетльно написав, что она будте оплачена по уровню Critical 🤑🎉
https://twitter.com/Krevetk0Valeriy/status/1534636951533498371?s=20

Незнай как-так вышло, но эта крутая преза пролетела мимо меня. Для большинства читателей думаю тоже будет не бесполезной.
https://youtu.be/sJAdFGRZ8uU

Голосование получилось весьма интересное. Во многом оно показалось на сколько разная аудитория у меня в телеге и инстаграме.
Через пару месяцев повторим и проверим результат 😉

Не могу не поделиться. Для меня это стало еще раз откровением о том что мировую историю в школах не проходят, от слова совсем. А ведь она такая интересная и важная для развития людей, и расширения кругозора.
PS: на днях начну вкидывать полезные штуки по сесурити. Так что не расходимся 😉
https://youtu.be/ujYB0_GjQM4

Когда выходные прошли максимально продуктивно😎
Нервов потратил на эту историю прилично 🤪

История о том почему нужно было учить матан в вузе 🤪
Один чел не поленился и получил «стипендию» в размере $630,000 🤑
https://medium.com/immunefi/port-finance-logic-error-bugfix-review-29767aced446

В погоне за маленькой, но дорогой скулёй.

Sql injection которую я раскопал в субботу заставила меня понервничать. Сама уязвимость была вполне простая. Сайтик на вордпресе с кучей плагинов. Устаревшая версия форума, которая прикручена к сайтику, и вот уже я ковыряю уязвимый параметр через

1 union select 1 and (select sleep(10)

Попутно еще проверил выполнение условия

1 union select 1 and 1=if(now()=sysdate(),sleep(5),1)

Потом полез вычислять сколько букв в имени базы

1 union select 1 and 2=if(length(database())<9,sleep(10),1)

1 union select 1 and 2=if(length(database())=8,sleep(10),1)

Определившись сколько там букв, я отгадал одну за другой. Ну и потом создал репорт со всеми результатами.
На том же сайте на том же месте я нашел XSS, но чтобы подтвердить возможность угона аккаунта пользователя, нужно было создать себе профиль. Регистрация не работала. И я написал в саппорт. И вот в понедельник меня ждал неприятный сюрприз. Из сапорта ответили что форум работать не будет и что через день весь сайт будет редиректить в другой домен.
В этот момент мне было уже пофиг на XSS. С этими новостями могло получится так что Sql injection через день может превратиться в тыкву. А нет бага - нет реварда.

Триажеры к моему репорту шли очень долго. И даже когда они пришли, то процесс триажа был тоже максимально медленный. Баг дождался дня Х когда весь сайт начал редиректить на другой домен. Т.е открывая example.com можно было сразу получить elpmaxe.com. Но вот SQL injection осталась на месте и продолжала существовать. Дело в том что жила она на example.com/community и видимо так получилось что редирект настроили не целиком на весь сайт через DNS.
Тут я офигел. От того что мне очень повезло и багу в итоге триажнули. И от того что в привычном для меня процессе поиска уязвимостей теперь нужно внимательней относится к адресам, которые возвращают 301 response. Ведь подобный редирект может не отработать при обращении в директорию. А в директории может таиться классная уязвимость.
Если столкнулись с sql injection но потерялись в идеях как её раскрутить, то вот очень годный источник - https://book.hacktricks.xyz/pentesting-web/sql-injection

Над чужим горем не смеются, но тут сложно удержаться. Ведь чувак сам записывает и продает секьюрити курсы для тех кому надо "войти-в-сесурити".
https://twitter.com/theXSSrat/status/1544232405195800576

Боже. Просто день потрясающих историй для этого канала.
Наковыряли мы с товарищем одну проблему. Не ради золота и славы, а ради честного имени решили разослать несколько сообщений(responsible disclosure) в организации, которые проблема затрагивала. Это и проблемой сложно назвать. Так, просто доступ в инфру 🤣
Часть компаний быстренько осознали и пофиксили. Другая часть решила играть в молчанку. Из-за доступа в инфу открывалась возможность писать в корпоративный slack. Ну раз они игнорили email с репортом, то мы решили в slack им этот самый репорт отправить.

Мы: Good afternoon! If you see this message, it means that there is a critical vulnerability in your infrastructure that allowed us...
CEO: who created this?
Мы: Hello ***. It's the wrong direction to investigate that issue....
CEO: are you threatening or helping ? how and why did you join our channel?
Мы: If it had been a targeted attack, we wouldn't have written to you here so openly. We had to write to you here after...
CEO: its threatening way of sales, infact its attack by a cyber security team if you are a real cyber security company, share your driver license, linkedin profile, phone number and setup a zoom call with real person on your scamming sales team
Мы: Hello again We did research...тут мы нашли вашу базу...тут мы получили доступ в месенджер...тут у вас ключи от сервиса...Вам нужно сделать это, это, это. И обязательно проверьте вот это. По этическим соображениям мы ничего не трогали т.к нам это нафиг не надо, но могут заглянуть плохие парни, и вот тогда вам крышка. Рекомендуем быстренько исправить подобный косяк
CEO: not ours
Мы: как это не ваше? мы же именно так тут и оказались. Наверно вы просто не знали что это "ваше".
CEO: thanks but share your identity
Мы: Мэн. Передай все своим девопсам. Нужно выполнить эту команду. Потом вот эту. Потом проверьте что у вас работает все остальное. И все. Больше таких ошибок не допускайте. Всего доброго.
CEO: Thanks a lot

Самое смешное что это CEO Cybersecurity фирмы, у которой основной посыл - "непрерывная защита данных в облаке". И получается что сами в эту "защиту в облаке" не смогли. 💁‍♂️

Ох и классная преза от чувака из Offensive.
В ожидании записи самого доклада. Но в целом и презентация достаточно информативная.
https://mgeeky.tech/warcon-2022-modern-initial-access-and-evasion-tactics/