Дневник хакера: Два дня в цифровых окопах: мой штурм SSO! 💥
Всем салют! 🤘 Решил поделиться, чем занимался последние 48 часов. Ушёл с головой в пентест SSO одного крупного сервиса. Думал, будет лёгкая прогулка? Ага, сейчас.
День 1: Разведка и лобовая атака 🕵️♂️
Начал с базы: прогнал
Зарядил свой любимый Burp Intruder, скормил ему словари от Jhaddix и дал огня. Но WAF там оказался не для красоты — все мои пейлоады отлетали, как от стенки горох. Длина ответов была одинаковой, что говорило о хорошей фильтрации. 🧱
Вывод: С Reflected XSS тут ловить нечего.
День 2: Поворот на Open Redirect 🔄
Раз код не засунуть, решил попробовать увести юзера. Нашёл два эндпоинта, которые отвечали за редиректы:
1.
2.
Протестировал все свои коронные трюки:
Итог: Я исключил два мёртвых вектора и собрал кучу инфы об их защите. Это не поражение, это ценные разведданные! 💪
План на завтра: Хватит этих детских игр. Пора штурмовать цитадель — основной OAuth 2.0 эндпоинт. Буду ломать логику
Stay tuned! Завтра будет интересно. 😎
#ДневникХакера #BugBounty #Pentest #RedTeam #Hacking #OAuth #OpenRedirect #0day
Всем салют! 🤘 Решил поделиться, чем занимался последние 48 часов. Ушёл с головой в пентест SSO одного крупного сервиса. Думал, будет лёгкая прогулка? Ага, сейчас.
День 1: Разведка и лобовая атака 🕵️♂️
Начал с базы: прогнал
ffuf и dirsearch по всем сабдоменам. Нашёл жирный эндпоинт, который просто умолял проверить его на XSS. 😈Зарядил свой любимый Burp Intruder, скормил ему словари от Jhaddix и дал огня. Но WAF там оказался не для красоты — все мои пейлоады отлетали, как от стенки горох. Длина ответов была одинаковой, что говорило о хорошей фильтрации. 🧱
Вывод: С Reflected XSS тут ловить нечего.
День 2: Поворот на Open Redirect 🔄
Раз код не засунуть, решил попробовать увести юзера. Нашёл два эндпоинта, которые отвечали за редиректы:
1.
/push?retpath=2.
/api/auth/web/autologin-vk?redirectUrl=Протестировал все свои коронные трюки:
//evil.com, ***.ru@evil.com, двойное URL-кодирование. Но их бэкенд оказался на стрёме. На каждый мой выпад сервер отвечал 302 Found, но редиректил на свою же страницу. Валидация домена на месте. 👨💻Итог: Я исключил два мёртвых вектора и собрал кучу инфы об их защите. Это не поражение, это ценные разведданные! 💪
План на завтра: Хватит этих детских игр. Пора штурмовать цитадель — основной OAuth 2.0 эндпоинт. Буду ломать логику
redirect_uri, мучать scope и client_id. Настоящий хардкор только начинается! 💣Stay tuned! Завтра будет интересно. 😎
#ДневникХакера #BugBounty #Pentest #RedTeam #Hacking #OAuth #OpenRedirect #0day
🔥 ДНЕВНИК ХАКЕРА | 06.10.2025
Сегодня нашёл критикал в крупной российской системе биометрии 🎯
Что делал:
• Просканировал 10 IP + 17 доменов через subfinder/nmap 🔍
• Нашёл SPA личного кабинета с 2MB JS-кода 📱
• Реверсил минифицированный JS и нашёл API endpoints 🧩
Находка:
Endpoint OAuth-авторизации через ЕСИА (Госуслуги) раскрывает client_secret в открытом виде! 🚨
Это секретный ключ всей OAuth-интеграции, который по стандарту RFC 6749 НИКОГДА не должен попадать на клиент. С таким ключом можно:
✅ Авторизоваться от имени системы
✅ Получать токены пользователей Госуслуг
✅ Компрометировать всю интеграцию
CVSS: 9.3 (Critical) ⚠️
Статистика:
📊 ~300 запросов за 6 часов
📋 20+ протестированных endpoints
💰 Ожидаю 500k-1M₽ за находку
Lesson learned: Всегда анализируйте JS в SPA — там часто лежат API endpoints, токены и секреты! 🔑
Репорт отправлен, жду триаж. Детали раскрою после фикса 📝
#bugbounty #critical #oauth #infosec #whitehathacker #pentest 🔐💻
Сегодня нашёл критикал в крупной российской системе биометрии 🎯
Что делал:
• Просканировал 10 IP + 17 доменов через subfinder/nmap 🔍
• Нашёл SPA личного кабинета с 2MB JS-кода 📱
• Реверсил минифицированный JS и нашёл API endpoints 🧩
Находка:
Endpoint OAuth-авторизации через ЕСИА (Госуслуги) раскрывает client_secret в открытом виде! 🚨
Это секретный ключ всей OAuth-интеграции, который по стандарту RFC 6749 НИКОГДА не должен попадать на клиент. С таким ключом можно:
✅ Авторизоваться от имени системы
✅ Получать токены пользователей Госуслуг
✅ Компрометировать всю интеграцию
CVSS: 9.3 (Critical) ⚠️
Статистика:
📊 ~300 запросов за 6 часов
📋 20+ протестированных endpoints
💰 Ожидаю 500k-1M₽ за находку
Lesson learned: Всегда анализируйте JS в SPA — там часто лежат API endpoints, токены и секреты! 🔑
Репорт отправлен, жду триаж. Детали раскрою после фикса 📝
#bugbounty #critical #oauth #infosec #whitehathacker #pentest 🔐💻