Респект @c0rv4x за отличную презу со стэндоф толкс.
Он отлично продемонстрировал крутой опыт багханта. Не стоит еще забывать, что обычных людей не приглашают на h1-event 😉
https://www.youtube.com/watch?v=Sb5oWrg4q9k
PS: Жаль что ты пропил деньги и не смог съехать от мамы 😁

Оставлю тут чтоб не забыть и дослушать внимательно этот подкаст.
Для меня этот человек создал особое value когда управлял программой, на которой я был сфокусирован. Когда отвечал мне в твиттере и высказывал свое мнение о той или иной ситуации. Когда оставлял годные комменты под твиттами, помогая мне смотреть на некоторые вещи с разных углов. Это вообще супер редкое явление, когда менеджер крупной программы открыто общается и помогает становиться лучше.

У меня тут случился технический сход. Жена укатила на три недели. И у нас получился пацанский лагерь на дому. При этом садики закончились. Кружки на каникулах. Детских лагерей для таких малышей нет. Родственники работают. Нянь не нашлось. И если работа худо бедно выполнялась. То вот исследовать и охотиться не получалось совсем.
Но позитивное в этом тоже было. Малой стал взрослее, самостоятельнее, ответственнее. Ах да, трещина в руке случившаяся прямо перед отлетом жены внесла коррективы. Список активностей был ограничен. Это меня сильно ограничило в планах что можно делать.

Сейчас переведу дух, и с новыми силами постараюсь вернуться и порадовать вас какими-то интересными историями, наблюдениями и результатами.

Последнее время был сильно занят рабочими вопросиками. Но самую чуточку свободного времени потратил на весьма непростой вектор. Во многом это просто доступ в разделы или порталы, куда обычных смертных не пустят.
Сперва был один military service portal, куда пускало военных или членов их семей (USA, UK, Australia). Знакомых таких не оказалось, но очень помог Upwork 😄️️️️️️ За 100 баксов мне удалось найти человека, который смог зайти в портал и помочь мне с проверкой одной штуки. Правда моя теория не подтвердилась и мой хакерский бюджет ушел немного в минус.
Я не унывал, и запрыгнул в "партнерский" портал одной известной конторы. Ни единой подписи, ни единой бумажки, 10-минутная встреча о том кто я такой, и вот я уже в портале партнеров. И на этот раз моя теория подтвердилась. Теперь я думаю мой хакерский бюджет уйдет немного в плюс 🤞Репорт уже триажнут. Но об этом уже видимо в следующем посте 😏

Собираюсь вам тут одну историю поведать.
И вы ни за что не угадаете про что она будет.
Скорее всего даже не поверите что так все может быть ...

Я тут вписался в эзотерические практики багхантинга.
В программе прям обещают "Esoteric techniques"🧙‍♂️
Надо бы подготовиться и заказать свежую колоду карт таро 🔮
PS: Не уверен что дед расскажет что-то уникальное на 550 баксов. Но тут целых два плюса. Возможность пообщаться с дедом и с аудиторией курса. Возможность вписать в налоги вычет на обучение 💁‍♂

Клевый хинт всплыл на просторах твиттера.
Если у вас любовь поискать что-то интересное, то данная история будет точно полезной.
Для яблочных устройств придумали метод интеграции с приложениями в вэбе. И эта интеграция раскрывает интересные эндпоинты, которые ранее могли ускользать от внимания рисёрчеров.
Самое время посмотреть на это внимательно 😏
Вот несколько примеров:
https://www.linkedin.com/.well-known/apple-app-site-association
https://www.youtube.com/.well-known/apple-app-site-association
https://www.shopify.com/.well-known/apple-app-site-association
https://www.apple.com/.well-known/apple-app-site-association
Удачной охоты 💪
PS: неплохое дополнение от подписчика! https://well-known.dev/resources/

Настал момент раскрыть все карты и прояснить почему я немного затих и перестал тут активно постить, и рассказывать о security и bug bounty.
Все дело в весьма непростой истории, которая произошла со мной и достойна репортажа на "Первом канале". 😂🙈
https://telegra.ph/Kak-Porosyonok-Pyotr-popal-v-pereplyot-09-11

Батю Джэймса наконец-то отпустила эпопея со смаглингом.
Свежий докладец с Defcon о Race Condition и потенциале этой уязвимости. Материал уже был опубликован ранее, и даже есть лабы на портсвигере. Но вот мне лично материал с презентаций заходит лучше.
https://youtu.be/tKJzsaB1ZvI?si=ujXTEfb8Zm_y30mY
https://portswigger.net/research/smashing-the-state-machine

Офигенный рисёрч от John Novak (praetorian). Исследуюя возможности b2c системы от Microsoft он обнаружил что если он узнает публичный ключик, которым подписывают refresh token для использования портала, то он сможет собрать свой refresh token и получить новый id token (киньте палкой если я не правильно поймал суть). Причина в refresh_token= JWE_RSA-OAEP(TokenEncryptionKey_pub, user details). В итоге первый репорт MSRC закрыли как informative, просто посчитав что баг связанный с шифрованием имеет теоретический риск, и рисёрчера это сильно напрягло. Типа секьюрити построено вокруг сокрытия публичного ключа.
Он не растерялся и пошел делать side channel attack положив свой код конечно же в Azure и стал анализировать результаты магии с ключами шифрования. В итоге ему удалось воссоздать процес генерации "своего" refresh token в котором он целиком и полностью контролирует все параметры. Как итог - он мог генерить токены на доступ в портал для Microsoft Bug Bounty, которая как раз работала на Azure b2c. Прям классный доклад. Рекомендую.

PS: Страшно смотреть на таймлайн репорта и его исправление. Мало того что первоначальный репорт недооценили. Дак еще и затриажить нормально и исправить второй не могли какое-то время. Багу кстати унесли в out-of-scope и не заплатили!!! Какая-то антиреклама MSRC. Мне кажется чуваку надо было продемонстрировать полный доступ в Bug Bounty Portal с добавлением справедливого реварда в собственный репорт.
https://youtu.be/IyPcXWIB990?si=BAF9VWb5vyCqorN0

Батя вэба @BlackFan вещает про csrf, crlf, open redirect и http parameter pollution.
Просто офигеть как круто и понятно объясняет доклад, идею для атак, показывает упорство при определенных ограничениях. Огромное спасибо за такое!
PS: хоть кому-то слитая монорепа яндекса пригодилась 😁
https://youtu.be/p1ClNhaoZQ8

От создателя gifoeb и "мамку твою" eval.
Великолепное возвращение в похек с zalupa.png и rsvgёб.py.👏
Круто описанный и понятный репорт. Спасибо тебе Эмиль!
https://hackerone.com/reports/2107680

Офигеть конечно история.
Помогаешь государственным службам, делаешь рисёрчи, о которых потом пишут все новостные издания. И потом внезапно ты попадаешь на Security Control в аэропорту, где твой телефон несколько часов проверяют. А потом тебе еще какое-то обвинение пытаются выкатить. Хорошо что отделался небольшим испугом. Вывод простой, даже если вайтхэт - то лучше лишний раз перевоткнуть VPN и помыть руки.
PS: Много тут читателей испытавших подобный экспириенс? За последнее время уверен что многие научились возить телефон в cloud dump 😁 Жизнь заставила можно сказать.
https://x.com/samwcyo/status/1706834185443483762?s=20

Вот это поворот.
Сергей Тошин aka BagiPro(TOP1 Mobile Hacker) записал неплохое интервью с ребятами из criticalthinking подкаста.
Приятно слушать таких людей, которые буквально прорубили целую сферу мобильного хакинга своими руками и ногами.
https://youtu.be/W6UWw0L01sE

Пока мы тут увлеченно пихаем кавычки и что-то ревёрсим, друзья по цеху из очередной страны идут воевать настоящим оружием. Вот буквально сейчас увидел как мой подписчик из твиттера попал под мобилизацию в Израиле.
https://x.com/SayafayaS/status/1711029946762600820?s=20
Приятель написал что у них "дизайнера" призвали...
И это такой это ад осозновать что в 2023 году происходит то что могло происходить в средневековье. С похищением детей, стариков и молодых девушек.
https://echofm.online/opinions/hton-yavno-nastroena-bitsya-do-poslednego (Интересно описал восприятие ситуации Лошак, но не разделяю как он замешал еще несколько стран в этой публикации)
В очередной раз хочется посмотреть билеты до Новой Зеландии в один конец.

Кажется это будут весьма интересные 4 дня обучения которые я ждал почти год.
А уж сколько критики было по поводу стоимости обучения 😁

"Что-то на богатом" считает большинство, когда видит тренинг по Burp Suite за 3к евро.
Сегодня последний день тренинга. И могу сказать точно - он стоит своих денег. И он точно нужен тем кто "на опыте". Я ощутил себя невежественным крестьянином с мотыгой, после того как увидел какие возможности таит в себе инструмент. Можно разные штуки делать, разные кейсы тестить и сканить.
Сам тренинг идет 4 дня в онлайне. Под все "штуки" есть лабы где быстро и просто демонстрируется теория по ходу обучения. Отдельно стоит отметить препода. Он не какой-то там инфобизнесмен. Он опытный пентестер и багхантер. И я к нему шел именно потому что он умеет сам и не продаёт воздух без релевантного опыта в своих руках.