🔥 Дневник Хакера | Когда WAF — это не стена, а приглашение
Привет, хакеры! 💻 Сегодня был абсолютно ОГНЕННЫЙ день в баг-баунти! 🚀 Продолжаю копать ту самую программу, о которой писал в прошлый раз (NDA, поэтому без деталей 🤫).
Краткое напоминание:
Несколько дней назад нашёл серьёзный баг — раскрытие API документации с 995 endpoints. Отправил отчёт, severity оценил как High. Теперь жду ответа (должны ответить в течение 5 рабочих дней).
📊
А сегодня случилось МАГИЯ: ✨
Продолжил копать ту же систему, и… нашёл способ обойти их Web Application Firewall! 🔓💥
Вот как это работало:
• Система защищена WAF (серьёзный корпоративный уровень защиты)
• Через обычный домен — всё блокируется, как и должно быть
• НО! В скоупе программы указаны IP-адреса backend-серверов 👀
• Подключился напрямую к IP с подменой Host заголовка…
• И БАМ! 💣 WAF полностью обошёлся, получил доступ к тем же 684 KB API документации!
Что это значит:
Это уже отдельная уязвимость класса Security Control Bypass! Даже если первый баг исправят, обход WAF через прямой доступ к IP — это критичная проблема сама по себе. Атакующий может:
• Игнорировать все правила фильтрации
• Обходить rate limiting
• Избегать обнаружения системами мониторинга
• Проводить атаки напрямую на backend 🎯
Что сделал:
✅ Проверил концепцию (PoC работает на 100%)
✅ Сравнил файлы — идентичные, 684 KB каждый
✅ Задокументировал всё с командами и выводами
✅ Написал детальный отчёт на 4 страницы
✅ Отправил в программу как второй баг
Severity: High (моя оценка 🎯)
Статистика на текущий момент:
📊 Отправлено отчётов: 2
🎯 Средняя severity: High
⏱️ Общее время на оба: ~4 часа работы
💰 Потенциальная выплата: если оба примут как High — это будет очень хорошо 😎
Уроки сегодняшнего дня:
1️⃣ Всегда проверяй IP-адреса из скоупа — иногда они там не просто так
2️⃣ WAF — это не всегда непробиваемая стена — бывают misconfiguration
3️⃣ Host header может быть твоим другом — если backend не валидирует источник
4️⃣ Один баг может привести к другому — продолжай копать то, что уже нашёл
5️⃣ Терпение и методичность — не бросай таргет после первой находки
Мысли вслух:
Чувствую себя как после хорошей CTF-задачки 😄 Волнуюсь, конечно — второй отчёт может быть посчитан как duplicate первого (хотя это разные уязвимости!). Но я максимально детально описал, почему это отдельная проблема. Если примут оба — будет просто космос! 🌟
А пока жду ответов (по первому должны ответить через пару дней). Время показывает, что методичный подход работает лучше хаотичного сканирования. Знание скоупа + понимание архитектуры = профит! 💎
#дневникхакера #bugbounty #infosec #cybersecurity #pentest #wafbypass #securitybypass #хакинг #безопасность #этичныйхакинг #redteam #bugbountyhunter #highseverity #APIsecurity #securitymisconfiguration
Привет, хакеры! 💻 Сегодня был абсолютно ОГНЕННЫЙ день в баг-баунти! 🚀 Продолжаю копать ту самую программу, о которой писал в прошлый раз (NDA, поэтому без деталей 🤫).
Краткое напоминание:
Несколько дней назад нашёл серьёзный баг — раскрытие API документации с 995 endpoints. Отправил отчёт, severity оценил как High. Теперь жду ответа (должны ответить в течение 5 рабочих дней).
📊
А сегодня случилось МАГИЯ: ✨
Продолжил копать ту же систему, и… нашёл способ обойти их Web Application Firewall! 🔓💥
Вот как это работало:
• Система защищена WAF (серьёзный корпоративный уровень защиты)
• Через обычный домен — всё блокируется, как и должно быть
• НО! В скоупе программы указаны IP-адреса backend-серверов 👀
• Подключился напрямую к IP с подменой Host заголовка…
• И БАМ! 💣 WAF полностью обошёлся, получил доступ к тем же 684 KB API документации!
Что это значит:
Это уже отдельная уязвимость класса Security Control Bypass! Даже если первый баг исправят, обход WAF через прямой доступ к IP — это критичная проблема сама по себе. Атакующий может:
• Игнорировать все правила фильтрации
• Обходить rate limiting
• Избегать обнаружения системами мониторинга
• Проводить атаки напрямую на backend 🎯
Что сделал:
✅ Проверил концепцию (PoC работает на 100%)
✅ Сравнил файлы — идентичные, 684 KB каждый
✅ Задокументировал всё с командами и выводами
✅ Написал детальный отчёт на 4 страницы
✅ Отправил в программу как второй баг
Severity: High (моя оценка 🎯)
Статистика на текущий момент:
📊 Отправлено отчётов: 2
🎯 Средняя severity: High
⏱️ Общее время на оба: ~4 часа работы
💰 Потенциальная выплата: если оба примут как High — это будет очень хорошо 😎
Уроки сегодняшнего дня:
1️⃣ Всегда проверяй IP-адреса из скоупа — иногда они там не просто так
2️⃣ WAF — это не всегда непробиваемая стена — бывают misconfiguration
3️⃣ Host header может быть твоим другом — если backend не валидирует источник
4️⃣ Один баг может привести к другому — продолжай копать то, что уже нашёл
5️⃣ Терпение и методичность — не бросай таргет после первой находки
Мысли вслух:
Чувствую себя как после хорошей CTF-задачки 😄 Волнуюсь, конечно — второй отчёт может быть посчитан как duplicate первого (хотя это разные уязвимости!). Но я максимально детально описал, почему это отдельная проблема. Если примут оба — будет просто космос! 🌟
А пока жду ответов (по первому должны ответить через пару дней). Время показывает, что методичный подход работает лучше хаотичного сканирования. Знание скоупа + понимание архитектуры = профит! 💎
#дневникхакера #bugbounty #infosec #cybersecurity #pentest #wafbypass #securitybypass #хакинг #безопасность #этичныйхакинг #redteam #bugbountyhunter #highseverity #APIsecurity #securitymisconfiguration