Достаточно быстро предыдущий пост получил продолжение.
Чуваки из security команды не стали включать душнил. Поблагодарили за проделанную работу и спокойно триажнули багу, предвариетльно написав, что она будте оплачена по уровню Critical 🤑🎉
https://twitter.com/Krevetk0Valeriy/status/1534636951533498371?s=20

Незнай как-так вышло, но эта крутая преза пролетела мимо меня. Для большинства читателей думаю тоже будет не бесполезной.
https://youtu.be/sJAdFGRZ8uU

Голосование получилось весьма интересное. Во многом оно показалось на сколько разная аудитория у меня в телеге и инстаграме.
Через пару месяцев повторим и проверим результат 😉

Не могу не поделиться. Для меня это стало еще раз откровением о том что мировую историю в школах не проходят, от слова совсем. А ведь она такая интересная и важная для развития людей, и расширения кругозора.
PS: на днях начну вкидывать полезные штуки по сесурити. Так что не расходимся 😉
https://youtu.be/ujYB0_GjQM4

Когда выходные прошли максимально продуктивно😎
Нервов потратил на эту историю прилично 🤪

История о том почему нужно было учить матан в вузе 🤪
Один чел не поленился и получил «стипендию» в размере $630,000 🤑
https://medium.com/immunefi/port-finance-logic-error-bugfix-review-29767aced446

В погоне за маленькой, но дорогой скулёй.

Sql injection которую я раскопал в субботу заставила меня понервничать. Сама уязвимость была вполне простая. Сайтик на вордпресе с кучей плагинов. Устаревшая версия форума, которая прикручена к сайтику, и вот уже я ковыряю уязвимый параметр через

1 union select 1 and (select sleep(10)

Попутно еще проверил выполнение условия

1 union select 1 and 1=if(now()=sysdate(),sleep(5),1)

Потом полез вычислять сколько букв в имени базы

1 union select 1 and 2=if(length(database())<9,sleep(10),1)

1 union select 1 and 2=if(length(database())=8,sleep(10),1)

Определившись сколько там букв, я отгадал одну за другой. Ну и потом создал репорт со всеми результатами.
На том же сайте на том же месте я нашел XSS, но чтобы подтвердить возможность угона аккаунта пользователя, нужно было создать себе профиль. Регистрация не работала. И я написал в саппорт. И вот в понедельник меня ждал неприятный сюрприз. Из сапорта ответили что форум работать не будет и что через день весь сайт будет редиректить в другой домен.
В этот момент мне было уже пофиг на XSS. С этими новостями могло получится так что Sql injection через день может превратиться в тыкву. А нет бага - нет реварда.

Триажеры к моему репорту шли очень долго. И даже когда они пришли, то процесс триажа был тоже максимально медленный. Баг дождался дня Х когда весь сайт начал редиректить на другой домен. Т.е открывая example.com можно было сразу получить elpmaxe.com. Но вот SQL injection осталась на месте и продолжала существовать. Дело в том что жила она на example.com/community и видимо так получилось что редирект настроили не целиком на весь сайт через DNS.
Тут я офигел. От того что мне очень повезло и багу в итоге триажнули. И от того что в привычном для меня процессе поиска уязвимостей теперь нужно внимательней относится к адресам, которые возвращают 301 response. Ведь подобный редирект может не отработать при обращении в директорию. А в директории может таиться классная уязвимость.
Если столкнулись с sql injection но потерялись в идеях как её раскрутить, то вот очень годный источник - https://book.hacktricks.xyz/pentesting-web/sql-injection

Над чужим горем не смеются, но тут сложно удержаться. Ведь чувак сам записывает и продает секьюрити курсы для тех кому надо "войти-в-сесурити".
https://twitter.com/theXSSrat/status/1544232405195800576

Боже. Просто день потрясающих историй для этого канала.
Наковыряли мы с товарищем одну проблему. Не ради золота и славы, а ради честного имени решили разослать несколько сообщений(responsible disclosure) в организации, которые проблема затрагивала. Это и проблемой сложно назвать. Так, просто доступ в инфру 🤣
Часть компаний быстренько осознали и пофиксили. Другая часть решила играть в молчанку. Из-за доступа в инфу открывалась возможность писать в корпоративный slack. Ну раз они игнорили email с репортом, то мы решили в slack им этот самый репорт отправить.

Мы: Good afternoon! If you see this message, it means that there is a critical vulnerability in your infrastructure that allowed us...
CEO: who created this?
Мы: Hello ***. It's the wrong direction to investigate that issue....
CEO: are you threatening or helping ? how and why did you join our channel?
Мы: If it had been a targeted attack, we wouldn't have written to you here so openly. We had to write to you here after...
CEO: its threatening way of sales, infact its attack by a cyber security team if you are a real cyber security company, share your driver license, linkedin profile, phone number and setup a zoom call with real person on your scamming sales team
Мы: Hello again We did research...тут мы нашли вашу базу...тут мы получили доступ в месенджер...тут у вас ключи от сервиса...Вам нужно сделать это, это, это. И обязательно проверьте вот это. По этическим соображениям мы ничего не трогали т.к нам это нафиг не надо, но могут заглянуть плохие парни, и вот тогда вам крышка. Рекомендуем быстренько исправить подобный косяк
CEO: not ours
Мы: как это не ваше? мы же именно так тут и оказались. Наверно вы просто не знали что это "ваше".
CEO: thanks but share your identity
Мы: Мэн. Передай все своим девопсам. Нужно выполнить эту команду. Потом вот эту. Потом проверьте что у вас работает все остальное. И все. Больше таких ошибок не допускайте. Всего доброго.
CEO: Thanks a lot

Самое смешное что это CEO Cybersecurity фирмы, у которой основной посыл - "непрерывная защита данных в облаке". И получается что сами в эту "защиту в облаке" не смогли. 💁‍♂️

Ох и классная преза от чувака из Offensive.
В ожидании записи самого доклада. Но в целом и презентация достаточно информативная.
https://mgeeky.tech/warcon-2022-modern-initial-access-and-evasion-tactics/

Оставлю тут, а то опять забуду или потеряю.
Кароч в условиях когда у нас на странице хер с маслом 40Х ответ от сервера, то нужно перебороть лень и зацепить этот питонячий скрипт.
PS: при этом дед Хаддикс и ex-salesforce Кускос уже одобрили его.
https://github.com/laluka/bypass-url-parser

Это точно последний пост на сегодня.
Тут Frans Rosen начитавшись древних публикаций Егора Хомякова вдохновленно натыкал разные интересности в OAuth.
Надо будет сесть вечерочком вчитаться внимательно во всё что он раскопал.
https://labs.detectify.com/2022/07/06/account-hijacking-using-dirty-dancing-in-sign-in-oauth-flows/

Какое-то время назад я запостил историю что утёкшие ранее креды можно использовать на разных корпоративных сервисах. И если повезет (а нам с приятелем повезло), то можно войти в очень важные ресурсы с очень важными данными. Кароч, статья тогда залетела в топы обсуждений. И появилось два лагеря. Были те которым не нравилась этическая составляющая этого исследования. Но были и такие которые офигели, оценили и побежали так же делать.

Сегодня я решил показать кое что еще. Теперь в доступе появился список самих сервисов, которые на мой взгляд имеют высокую ценность в случае компроментации(в том числе через credential stuffing). Список собран из моих наблюдений и опыта работы в айтишке за долгие годы. И аккуратно сложен тут. Если я вдруг что-то упустил, то дайте знать , дополню 🙂
А еще вы всегда можете порадовать меня ретвитом и лайком в твиттере ведь это не сложно и даже бесплатно.

И вот еще одно любопытное наблюдение. Если вы посмотрите на табличку со списком, то заметите перечисленные способы авторизации. И вот это не просто так. Дело в том что ...
• aккаунт Bitbucket входит в Gitlab
• аккаунт Salesforce входит в Gitlab и дает вход дальше в Travis-ci.com
• аккаунт Twitter входит в Gitlab
• аккаунт Bitbucket входит в Travis
У меня вроде не нашлось реальных примеров как с угнанного аккаунта Salesforce мне удавалось пролезть в полноценный Gitlab или Travis. Но и не уверен что такую возможность можно полностью исключать.

Мой бро @gadanienacoffee напилил тут неплохую презу о том как можно делать аппсекс .
PS: А еще у них там вакансии есть

Возвращаясь с работы мне на хвост упал вело патруль. Они за мной ехали пару кварталов видимо наблюдая не превышаю ли я скорость(что было просто невозможно в моих условиях). Перекрестки я проезжал по всем правилам показывая необходимые знаки при маневрах. Но в итоге они все равно меня остановили для инспекции велосипеда. И обнаружили что у велика другой контроллер на руле, и у него есть рычажок который позволяет велику ехать не вращая педали. Этим я почти никогда не пользовался потому-что это как-то нелепо сидеть на велике и не крутить педали. В итоге вел конфискован для проведения инспекции на предмет максимальной скорости. Через пару дней придет письмо для дачи объяснений. Ну а дальше штраф. Думаю это будет около 500 евреев. Т.к это управление транспортным средством без номерного знака и страховки, раз он сам может ехать.
PS: А ведь я гонял последние дни и думал что нужно как-то отпилить рычажок газа, чтоб не провоцировать полицейских. От мыслей к делу не дошел за что и поплатился 😒

Ух и веселые вечера были в последнее время 😎
Заскринил для истории.

История о том как "работяги" следуя инструкциям похекали минфин Коста Рики.
PS: как по мне, подобные истории вообще не удивительны. Найти слитые gov учётки, не запатченные сервисы - это прям весьма не сложная задача. Вот кажется в сингапуре пытались затащить закон обязывающий иметь "bug bounty" или хотя бы VDP. Это единственное что может сделать IT сервисы чуть более безопасными.
https://www.bleepingcomputer.com/news/security/how-conti-ransomware-hacked-and-encrypted-the-costa-rican-government/