История о том почему нужно было учить матан в вузе 🤪
Один чел не поленился и получил «стипендию» в размере $630,000 🤑
https://medium.com/immunefi/port-finance-logic-error-bugfix-review-29767aced446
Один чел не поленился и получил «стипендию» в размере $630,000 🤑
https://medium.com/immunefi/port-finance-logic-error-bugfix-review-29767aced446
Medium
Port Finance Logic Error Bugfix Review
Summary
🌚7🤯6❤1👍1
В погоне за маленькой, но дорогой скулёй.
Sql injection которую я раскопал в субботу заставила меня понервничать. Сама уязвимость была вполне простая. Сайтик на вордпресе с кучей плагинов. Устаревшая версия форума, которая прикручена к сайтику, и вот уже я ковыряю уязвимый параметр через
Попутно еще проверил выполнение условия
Потом полез вычислять сколько букв в имени базы
Определившись сколько там букв, я отгадал одну за другой. Ну и потом создал репорт со всеми результатами.
На том же сайте на том же месте я нашел XSS, но чтобы подтвердить возможность угона аккаунта пользователя, нужно было создать себе профиль. Регистрация не работала. И я написал в саппорт. И вот в понедельник меня ждал неприятный сюрприз. Из сапорта ответили что форум работать не будет и что через день весь сайт будет редиректить в другой домен.
В этот момент мне было уже пофиг на XSS. С этими новостями могло получится так что Sql injection через день может превратиться в тыкву. А нет бага - нет реварда.
Триажеры к моему репорту шли очень долго. И даже когда они пришли, то процесс триажа был тоже максимально медленный. Баг дождался дня Х когда весь сайт начал редиректить на другой домен. Т.е открывая example.com можно было сразу получить elpmaxe.com. Но вот SQL injection осталась на месте и продолжала существовать. Дело в том что жила она на example.com/community и видимо так получилось что редирект настроили не целиком на весь сайт через DNS.
Тут я офигел. От того что мне очень повезло и багу в итоге триажнули. И от того что в привычном для меня процессе поиска уязвимостей теперь нужно внимательней относится к адресам, которые возвращают 301 response. Ведь подобный редирект может не отработать при обращении в директорию. А в директории может таиться классная уязвимость.
Если столкнулись с sql injection но потерялись в идеях как её раскрутить, то вот очень годный источник - https://book.hacktricks.xyz/pentesting-web/sql-injection
Sql injection которую я раскопал в субботу заставила меня понервничать. Сама уязвимость была вполне простая. Сайтик на вордпресе с кучей плагинов. Устаревшая версия форума, которая прикручена к сайтику, и вот уже я ковыряю уязвимый параметр через
1 union select 1 and (select sleep(10)
Попутно еще проверил выполнение условия
1 union select 1 and 1=if(now()=sysdate(),sleep(5),1)
Потом полез вычислять сколько букв в имени базы
1 union select 1 and 2=if(length(database())<9,sleep(10),1)
1 union select 1 and 2=if(length(database())=8,sleep(10),1)
Определившись сколько там букв, я отгадал одну за другой. Ну и потом создал репорт со всеми результатами.
На том же сайте на том же месте я нашел XSS, но чтобы подтвердить возможность угона аккаунта пользователя, нужно было создать себе профиль. Регистрация не работала. И я написал в саппорт. И вот в понедельник меня ждал неприятный сюрприз. Из сапорта ответили что форум работать не будет и что через день весь сайт будет редиректить в другой домен.
В этот момент мне было уже пофиг на XSS. С этими новостями могло получится так что Sql injection через день может превратиться в тыкву. А нет бага - нет реварда.
Триажеры к моему репорту шли очень долго. И даже когда они пришли, то процесс триажа был тоже максимально медленный. Баг дождался дня Х когда весь сайт начал редиректить на другой домен. Т.е открывая example.com можно было сразу получить elpmaxe.com. Но вот SQL injection осталась на месте и продолжала существовать. Дело в том что жила она на example.com/community и видимо так получилось что редирект настроили не целиком на весь сайт через DNS.
Тут я офигел. От того что мне очень повезло и багу в итоге триажнули. И от того что в привычном для меня процессе поиска уязвимостей теперь нужно внимательней относится к адресам, которые возвращают 301 response. Ведь подобный редирект может не отработать при обращении в директорию. А в директории может таиться классная уязвимость.
Если столкнулись с sql injection но потерялись в идеях как её раскрутить, то вот очень годный источник - https://book.hacktricks.xyz/pentesting-web/sql-injection
🔥23👍1
Над чужим горем не смеются, но тут сложно удержаться. Ведь чувак сам записывает и продает секьюрити курсы для тех кому надо "войти-в-сесурити".
https://twitter.com/theXSSrat/status/1544232405195800576
https://twitter.com/theXSSrat/status/1544232405195800576
X (formerly Twitter)
HackerRats - Uncle Rat ❤️ (XSS Rat) (@theXSSrat) on X
Chavi, if you see this, please please plesase send me back the 4k$ Ive sent bymistake. That money was to pay bills :( now I have to spot that money and pay taxes on it and I have nothing. You can even keep a portion of they money , just please send the majority…
Боже. Просто день потрясающих историй для этого канала.
Наковыряли мы с товарищем одну проблему. Не ради золота и славы, а ради честного имени решили разослать несколько сообщений(responsible disclosure) в организации, которые проблема затрагивала. Это и проблемой сложно назвать. Так, просто доступ в инфру 🤣
Часть компаний быстренько осознали и пофиксили. Другая часть решила играть в молчанку. Из-за доступа в инфу открывалась возможность писать в корпоративный slack. Ну раз они игнорили email с репортом, то мы решили в slack им этот самый репорт отправить.
Мы: Good afternoon! If you see this message, it means that there is a critical vulnerability in your infrastructure that allowed us...
CEO: who created this?
Мы: Hello ***. It's the wrong direction to investigate that issue....
CEO: are you threatening or helping ? how and why did you join our channel?
Мы: If it had been a targeted attack, we wouldn't have written to you here so openly. We had to write to you here after...
CEO: its threatening way of sales, infact its attack by a cyber security team if you are a real cyber security company, share your driver license, linkedin profile, phone number and setup a zoom call with real person on your scamming sales team
Мы: Hello again We did research...тут мы нашли вашу базу...тут мы получили доступ в месенджер...тут у вас ключи от сервиса...Вам нужно сделать это, это, это. И обязательно проверьте вот это. По этическим соображениям мы ничего не трогали т.к нам это нафиг не надо, но могут заглянуть плохие парни, и вот тогда вам крышка. Рекомендуем быстренько исправить подобный косяк
CEO: not ours
Мы: как это не ваше? мы же именно так тут и оказались. Наверно вы просто не знали что это "ваше".
CEO: thanks but share your identity
Мы: Мэн. Передай все своим девопсам. Нужно выполнить эту команду. Потом вот эту. Потом проверьте что у вас работает все остальное. И все. Больше таких ошибок не допускайте. Всего доброго.
CEO: Thanks a lot
Самое смешное что это CEO Cybersecurity фирмы, у которой основной посыл - "непрерывная защита данных в облаке". И получается что сами в эту "защиту в облаке" не смогли. 💁♂️
Наковыряли мы с товарищем одну проблему. Не ради золота и славы, а ради честного имени решили разослать несколько сообщений(responsible disclosure) в организации, которые проблема затрагивала. Это и проблемой сложно назвать. Так, просто доступ в инфру 🤣
Часть компаний быстренько осознали и пофиксили. Другая часть решила играть в молчанку. Из-за доступа в инфу открывалась возможность писать в корпоративный slack. Ну раз они игнорили email с репортом, то мы решили в slack им этот самый репорт отправить.
Мы: Good afternoon! If you see this message, it means that there is a critical vulnerability in your infrastructure that allowed us...
CEO: who created this?
Мы: Hello ***. It's the wrong direction to investigate that issue....
CEO: are you threatening or helping ? how and why did you join our channel?
Мы: If it had been a targeted attack, we wouldn't have written to you here so openly. We had to write to you here after...
CEO: its threatening way of sales, infact its attack by a cyber security team if you are a real cyber security company, share your driver license, linkedin profile, phone number and setup a zoom call with real person on your scamming sales team
Мы: Hello again We did research...тут мы нашли вашу базу...тут мы получили доступ в месенджер...тут у вас ключи от сервиса...Вам нужно сделать это, это, это. И обязательно проверьте вот это. По этическим соображениям мы ничего не трогали т.к нам это нафиг не надо, но могут заглянуть плохие парни, и вот тогда вам крышка. Рекомендуем быстренько исправить подобный косяк
CEO: not ours
Мы: как это не ваше? мы же именно так тут и оказались. Наверно вы просто не знали что это "ваше".
CEO: thanks but share your identity
Мы: Мэн. Передай все своим девопсам. Нужно выполнить эту команду. Потом вот эту. Потом проверьте что у вас работает все остальное. И все. Больше таких ошибок не допускайте. Всего доброго.
CEO: Thanks a lot
Самое смешное что это CEO Cybersecurity фирмы, у которой основной посыл - "непрерывная защита данных в облаке". И получается что сами в эту "защиту в облаке" не смогли. 💁♂️
😁24🔥7💩2
Ох и классная преза от чувака из Offensive.
В ожидании записи самого доклада. Но в целом и презентация достаточно информативная.
https://mgeeky.tech/warcon-2022-modern-initial-access-and-evasion-tactics/
В ожидании записи самого доклада. Но в целом и презентация достаточно информативная.
https://mgeeky.tech/warcon-2022-modern-initial-access-and-evasion-tactics/
Оставлю тут, а то опять забуду или потеряю.
Кароч в условиях когда у нас на страницехер с маслом 40Х ответ от сервера, то нужно перебороть лень и зацепить этот питонячий скрипт.
PS: при этом дед Хаддикс и ex-salesforce Кускос уже одобрили его.
https://github.com/laluka/bypass-url-parser
Кароч в условиях когда у нас на странице
PS: при этом дед Хаддикс и ex-salesforce Кускос уже одобрили его.
https://github.com/laluka/bypass-url-parser
GitHub
GitHub - laluka/bypass-url-parser: bypass-url-parser
bypass-url-parser. Contribute to laluka/bypass-url-parser development by creating an account on GitHub.
👍14
Это точно последний пост на сегодня.
Тут Frans Rosen начитавшись древних публикаций Егора Хомякова вдохновленно натыкал разные интересности в OAuth.
Надо будет сесть вечерочком вчитаться внимательно во всё что он раскопал.
https://labs.detectify.com/2022/07/06/account-hijacking-using-dirty-dancing-in-sign-in-oauth-flows/
Тут Frans Rosen начитавшись древних публикаций Егора Хомякова вдохновленно натыкал разные интересности в OAuth.
Надо будет сесть вечерочком вчитаться внимательно во всё что он раскопал.
https://labs.detectify.com/2022/07/06/account-hijacking-using-dirty-dancing-in-sign-in-oauth-flows/
Labs Detectify
Account hijacking using "dirty dancing" in sign-in OAuth-flows - Labs Detectify
Combining response-type switching, invalid state and redirect-uri quirks using OAuth, with third-party javascript-inclusions has multiple vulnerable scenarios where authorization codes or tokens could leak to an attacker. This could be used in attacks for…
👍6
Какое-то время назад я запостил историю что утёкшие ранее креды можно использовать на разных корпоративных сервисах. И если повезет (а нам с приятелем повезло), то можно войти в очень важные ресурсы с очень важными данными. Кароч, статья тогда залетела в топы обсуждений. И появилось два лагеря. Были те которым не нравилась этическая составляющая этого исследования. Но были и такие которые офигели, оценили и побежали так же делать.
Сегодня я решил показать кое что еще. Теперь в доступе появился список самих сервисов, которые на мой взгляд имеют высокую ценность в случае компроментации(в том числе через credential stuffing). Список собран из моих наблюдений и опыта работы в айтишке за долгие годы. И аккуратно сложен тут. Если я вдруг что-то упустил, то дайте знать , дополню 🙂
А еще вы всегда можете порадовать меня ретвитом и лайком в твиттере ведь это не сложно и даже бесплатно.
И вот еще одно любопытное наблюдение. Если вы посмотрите на табличку со списком, то заметите перечисленные способы авторизации. И вот это не просто так. Дело в том что ...
• aккаунт Bitbucket входит в Gitlab
• аккаунт Salesforce входит в Gitlab и дает вход дальше в Travis-ci.com
• аккаунт Twitter входит в Gitlab
• аккаунт Bitbucket входит в Travis
У меня вроде не нашлось реальных примеров как с угнанного аккаунта Salesforce мне удавалось пролезть в полноценный Gitlab или Travis. Но и не уверен что такую возможность можно полностью исключать.
Сегодня я решил показать кое что еще. Теперь в доступе появился список самих сервисов, которые на мой взгляд имеют высокую ценность в случае компроментации(в том числе через credential stuffing). Список собран из моих наблюдений и опыта работы в айтишке за долгие годы. И аккуратно сложен тут. Если я вдруг что-то упустил, то дайте знать , дополню 🙂
А еще вы всегда можете порадовать меня ретвитом и лайком в твиттере ведь это не сложно и даже бесплатно.
И вот еще одно любопытное наблюдение. Если вы посмотрите на табличку со списком, то заметите перечисленные способы авторизации. И вот это не просто так. Дело в том что ...
• aккаунт Bitbucket входит в Gitlab
• аккаунт Salesforce входит в Gitlab и дает вход дальше в Travis-ci.com
• аккаунт Twitter входит в Gitlab
• аккаунт Bitbucket входит в Travis
У меня вроде не нашлось реальных примеров как с угнанного аккаунта Salesforce мне удавалось пролезть в полноценный Gitlab или Travis. Но и не уверен что такую возможность можно полностью исключать.
👍9🔥4
Мне регулярно задают один и тот же вопрос - "Как ты всё успеваешь?".
И элементарный ответ на это - да никак!
Если подойти к вопросу чисто математически, то день у меня выглядит примерно так
• 8-9 часов работа
• 3 часа курсы немецкого
• 6-6.5 часов сна
• 2-3 часа вечернего втыкания в кавычки
Остается еще 2.5 часа на "потупить" или поесть. Но про последнее я иногда вообще забываю 😂
Но бывают дни когда всё идет не по плану, и я засыпаю на диване в той позе в которой на нём оказался. На утро мне телефон выписывает поздравление. Но это случается редко.
Как у остальных с тайм менеджментом? Поделитесь секретиками? 🤔
PS: Это конечно описан идеальный "рабочий" день. Случается конечно так что план идет по бороде и я играю/гуляю с ребенком пока жена ловит дзен 😇
И элементарный ответ на это - да никак!
Если подойти к вопросу чисто математически, то день у меня выглядит примерно так
• 8-9 часов работа
• 3 часа курсы немецкого
• 6-6.5 часов сна
• 2-3 часа вечернего втыкания в кавычки
Остается еще 2.5 часа на "потупить" или поесть. Но про последнее я иногда вообще забываю 😂
Но бывают дни когда всё идет не по плану, и я засыпаю на диване в той позе в которой на нём оказался. На утро мне телефон выписывает поздравление. Но это случается редко.
Как у остальных с тайм менеджментом? Поделитесь секретиками? 🤔
PS: Это конечно описан идеальный "рабочий" день. Случается конечно так что план идет по бороде и я играю/гуляю с ребенком пока жена ловит дзен 😇
😁12👍3🤯1💯1
Мой бро @gadanienacoffee напилил тут неплохую презу о том как можно делать аппсекс .
PS: А еще у них там вакансии есть
PS: А еще у них там вакансии есть
YouTube
Как построить security review, который приносит пользу и не тормозит разработку / Антон Булавин
Приглашаем на TechLead Conf X 2025, которая пройдет 5 июня в Москве.
Программа, подробности и билеты по ссылке https://bit.ly/3PZN1hk
---------
Объединенная конференция DevOpsConf и TechLead Conf
13 и 14 июня 2022
Тезисы и презентация:
https://techlea…
Программа, подробности и билеты по ссылке https://bit.ly/3PZN1hk
---------
Объединенная конференция DevOpsConf и TechLead Conf
13 и 14 июня 2022
Тезисы и презентация:
https://techlea…
🔥5👍2
Ну чтож. Могу констатировать сей факт что я теперь криминальная личность. Можно даже сказать что у меня есть привод в участок. И все потому что я затюнил свой электровелик и ездил на нем по городу. Некоторые владельцы электровеликов тюнят снимая ограничения мощности мотора или максимальную скорость. Я почти этим же путем пошел. Поставил американский контроллер скорости. Момент ускорения на нем был более плавный чем на европейской версии. Но при этом все равно ограничил его до 25-26км/ч. Это позволяло мне на пиковой скорости нормально обгонять электросамокаты с разрешенной скоростью в 20км/ч.
Ну и катался я без проблем до сегодняшнего вечера...
Ну и катался я без проблем до сегодняшнего вечера...
🥰2
Возвращаясь с работы мне на хвост упал вело патруль. Они за мной ехали пару кварталов видимо наблюдая не превышаю ли я скорость(что было просто невозможно в моих условиях). Перекрестки я проезжал по всем правилам показывая необходимые знаки при маневрах. Но в итоге они все равно меня остановили для инспекции велосипеда. И обнаружили что у велика другой контроллер на руле, и у него есть рычажок который позволяет велику ехать не вращая педали. Этим я почти никогда не пользовался потому-что это как-то нелепо сидеть на велике и не крутить педали. В итоге вел конфискован для проведения инспекции на предмет максимальной скорости. Через пару дней придет письмо для дачи объяснений. Ну а дальше штраф. Думаю это будет около 500 евреев. Т.к это управление транспортным средством без номерного знака и страховки, раз он сам может ехать.
PS: А ведь я гонял последние дни и думал что нужно как-то отпилить рычажок газа, чтоб не провоцировать полицейских. От мыслей к делу не дошел за что и поплатился 😒
PS: А ведь я гонял последние дни и думал что нужно как-то отпилить рычажок газа, чтоб не провоцировать полицейских. От мыслей к делу не дошел за что и поплатился 😒
😢12💩7😁5🥰1
История о том как "работяги" следуя инструкциям похекали минфин Коста Рики.
PS: как по мне, подобные истории вообще не удивительны. Найти слитые gov учётки, не запатченные сервисы - это прям весьма не сложная задача. Вот кажется в сингапуре пытались затащить закон обязывающий иметь "bug bounty" или хотя бы VDP. Это единственное что может сделать IT сервисы чуть более безопасными.
https://www.bleepingcomputer.com/news/security/how-conti-ransomware-hacked-and-encrypted-the-costa-rican-government/
PS: как по мне, подобные истории вообще не удивительны. Найти слитые gov учётки, не запатченные сервисы - это прям весьма не сложная задача. Вот кажется в сингапуре пытались затащить закон обязывающий иметь "bug bounty" или хотя бы VDP. Это единственное что может сделать IT сервисы чуть более безопасными.
https://www.bleepingcomputer.com/news/security/how-conti-ransomware-hacked-and-encrypted-the-costa-rican-government/
BleepingComputer
How Conti ransomware hacked and encrypted the Costa Rican government
Details have emerged on how the Conti ransomware gang breached the Costa Rican government, showing the attack's precision and the speed of moving from initial access to the final stage of encrypting devices.
👍2
История о хитроватом багбаунти рынке.
Хитроватость в бб начинается с момента подключения клиента к платформе. Продажник любой платформы пытается залить в уши как можно больше невероятных штук, которые обычный клиент просто прожуёт, ну а в конце подпишет контракт. И вот чтоб сбить прайс платформы, можно принести контр офер платформы конкрутента, можно продавить отказ от ненужных опций. И вроде бы всё. Подписал, и работаешь себе.
Но на этом хитрости не заканчиваются. Чтоб сделать успешный успех на программе, нужно постоянно вовлекать рисёрчеров. Можно конечно засылать шмот лучшим. Можно рисовать отчеты и выделять классных ребят. Но лучше всего работает промо по увеличению реварда. Вот месяца полтора назад меня настигло такое предложение посмотреть одних ребят которые делают x2 за high/critical. Достойная программа. Глупостей за прошлые годы замечено не было. Но я знал точно, что прошлые менеджеры ушли, а с новыми я поработать не успел. Ну и я попробовал. Результат получился так себе💩. Всадил несколько ночей своего времени, пару вечеров по выходным. Сфокусировался качественно, подтянул друзей.
В итоге общими усилиями нашей небольшой но дружной APT мы насобирали 8 SQLi, 1 RCE и еще какие-то штуки. Ребята на той стороне явно не ждали такой поворот событий. И видимо никому там не согласовывали квартальный бюджет в такие суммы на которые мы настреляли. И началось...
Ой, а что вы сделаете нам с этой RCE, а то тут ничего не понятно и мы не знаем что такое log4j. Ну ок - вот вам пруфы, вот эта тачка дырявая, вот этот патч надо накатить сюда. Ой спасибо, только это не critical а medium, ведь тачка изолированная. Но мы уже все починили. И вы нам ничего не докажете.
Ой, а ваши/наши 4 sql injection вообще-то не наши, а вот этого вендора, но мы с ним уже связались, он всё запатчил, и мы репорты закрываем информативными, пососибо.
Ну и этот цирк еще не закончился, но я прям уже не удивлюсь увидеть кролика из шляпы.
А это я все к чему?! Да просто не нужно было на подобный разводняк так ответственно реагировать. Как минимум парочку сессий на гидрофойле можно было закатить с кайфом. Парочку раз выспаться как следует. И вообще отлично провести время, а не вот это вот всё у монитора с банками редбула.
Всем Peace и work-life balance ☝️
Хитроватость в бб начинается с момента подключения клиента к платформе. Продажник любой платформы пытается залить в уши как можно больше невероятных штук, которые обычный клиент просто прожуёт, ну а в конце подпишет контракт. И вот чтоб сбить прайс платформы, можно принести контр офер платформы конкрутента, можно продавить отказ от ненужных опций. И вроде бы всё. Подписал, и работаешь себе.
Но на этом хитрости не заканчиваются. Чтоб сделать успешный успех на программе, нужно постоянно вовлекать рисёрчеров. Можно конечно засылать шмот лучшим. Можно рисовать отчеты и выделять классных ребят. Но лучше всего работает промо по увеличению реварда. Вот месяца полтора назад меня настигло такое предложение посмотреть одних ребят которые делают x2 за high/critical. Достойная программа. Глупостей за прошлые годы замечено не было. Но я знал точно, что прошлые менеджеры ушли, а с новыми я поработать не успел. Ну и я попробовал. Результат получился так себе💩. Всадил несколько ночей своего времени, пару вечеров по выходным. Сфокусировался качественно, подтянул друзей.
В итоге общими усилиями нашей небольшой но дружной APT мы насобирали 8 SQLi, 1 RCE и еще какие-то штуки. Ребята на той стороне явно не ждали такой поворот событий. И видимо никому там не согласовывали квартальный бюджет в такие суммы на которые мы настреляли. И началось...
Ой, а что вы сделаете нам с этой RCE, а то тут ничего не понятно и мы не знаем что такое log4j. Ну ок - вот вам пруфы, вот эта тачка дырявая, вот этот патч надо накатить сюда. Ой спасибо, только это не critical а medium, ведь тачка изолированная. Но мы уже все починили. И вы нам ничего не докажете.
Ой, а ваши/наши 4 sql injection вообще-то не наши, а вот этого вендора, но мы с ним уже связались, он всё запатчил, и мы репорты закрываем информативными, пососибо.
Ну и этот цирк еще не закончился, но я прям уже не удивлюсь увидеть кролика из шляпы.
А это я все к чему?! Да просто не нужно было на подобный разводняк так ответственно реагировать. Как минимум парочку сессий на гидрофойле можно было закатить с кайфом. Парочку раз выспаться как следует. И вообще отлично провести время, а не вот это вот всё у монитора с банками редбула.
Всем Peace и work-life balance ☝️
😱6😁4👍3🤯1