Forwarded from Школа программирования и этичного хакинга «Timcore»
#bug_bounty
#bug_hunting
Хищение токенов через Service Workers — приписал scope пошире и перехватил запросы
На сайте в каком-нибудь занюханном разделе /blog есть жирная Stored XSS. А основной сок — SPA-приложуха — живёт в корне и общается с /api по JWT, передавая его в заголовке Authorization: Bearer .... Вишенка на торте: сервер, отдающий JS, шлёт заголовок Service-Worker-Allowed: /. Это не фича, это приглашение на пати.
Подробнее: https://timcourse.ru/hishhenie-tokenov-cherez-service-workers-pripisal-scope-poshire-i-perehvatil-zaprosy/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#bug_hunting
Хищение токенов через Service Workers — приписал scope пошире и перехватил запросы
На сайте в каком-нибудь занюханном разделе /blog есть жирная Stored XSS. А основной сок — SPA-приложуха — живёт в корне и общается с /api по JWT, передавая его в заголовке Authorization: Bearer .... Вишенка на торте: сервер, отдающий JS, шлёт заголовок Service-Worker-Allowed: /. Это не фича, это приглашение на пати.
Подробнее: https://timcourse.ru/hishhenie-tokenov-cherez-service-workers-pripisal-scope-poshire-i-perehvatil-zaprosy/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Авторские курсы Михаила Тарасова
Хищение токенов через Service Workers — приписал scope пошире и перехватил запросы — Авторские курсы Михаила Тарасова
На сайте в каком-нибудь занюханном разделе `/blog` есть жирная Stored XSS. А основной сок — SPA-приложуха — живёт в корне и общается с `/api` по JWT, передавая его в заголовке `Authorization: Bearer ...`. Вишенка на торте: сервер, отдающий JS, шлёт заголовок…
Forwarded from Школа программирования и этичного хакинга «Timcore»
#bug_bounty
#bug_hunting
DNS Rebinding на IoT API — домашние камеры и принтеры через браузер превращаются в твоих ботов
Целая армия IoT-устройств (камеры, роутеры, принтеры, NAS) в локальных сетях, которые светят наружу своими веб-мордами на 192.168.x.x. У них либо нет аутентификации, либо дефолтные креды. API для управления этими поделками часто не проверяет заголовок Host и не имеет никакой CSRF-защиты.
Подробнее: https://timcourse.ru/dns-rebinding-na-iot-api-domashnie-kamery-i-printery-cherez-brauzer-prevrashhayutsya-v-tvoih-botov/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#bug_hunting
DNS Rebinding на IoT API — домашние камеры и принтеры через браузер превращаются в твоих ботов
Целая армия IoT-устройств (камеры, роутеры, принтеры, NAS) в локальных сетях, которые светят наружу своими веб-мордами на 192.168.x.x. У них либо нет аутентификации, либо дефолтные креды. API для управления этими поделками часто не проверяет заголовок Host и не имеет никакой CSRF-защиты.
Подробнее: https://timcourse.ru/dns-rebinding-na-iot-api-domashnie-kamery-i-printery-cherez-brauzer-prevrashhayutsya-v-tvoih-botov/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Авторские курсы Михаила Тарасова
DNS Rebinding на IoT API — домашние камеры и принтеры через браузер превращаются в твоих ботов — Авторские курсы Михаила Тарасова
Целая армия IoT-устройств (камеры, роутеры, принтеры, NAS) в локальных сетях, которые светят наружу своими веб-мордами на `192.168.x.x`. У них либо нет аутентификации, либо дефолтные креды. API для управления этими поделками часто не проверяет заголовок `Host`…
🔥 Дневник Хакера | Когда WAF — это не стена, а приглашение
Привет, хакеры! 💻 Сегодня был абсолютно ОГНЕННЫЙ день в баг-баунти! 🚀 Продолжаю копать ту самую программу, о которой писал в прошлый раз (NDA, поэтому без деталей 🤫).
Краткое напоминание:
Несколько дней назад нашёл серьёзный баг — раскрытие API документации с 995 endpoints. Отправил отчёт, severity оценил как High. Теперь жду ответа (должны ответить в течение 5 рабочих дней).
📊
А сегодня случилось МАГИЯ: ✨
Продолжил копать ту же систему, и… нашёл способ обойти их Web Application Firewall! 🔓💥
Вот как это работало:
• Система защищена WAF (серьёзный корпоративный уровень защиты)
• Через обычный домен — всё блокируется, как и должно быть
• НО! В скоупе программы указаны IP-адреса backend-серверов 👀
• Подключился напрямую к IP с подменой Host заголовка…
• И БАМ! 💣 WAF полностью обошёлся, получил доступ к тем же 684 KB API документации!
Что это значит:
Это уже отдельная уязвимость класса Security Control Bypass! Даже если первый баг исправят, обход WAF через прямой доступ к IP — это критичная проблема сама по себе. Атакующий может:
• Игнорировать все правила фильтрации
• Обходить rate limiting
• Избегать обнаружения системами мониторинга
• Проводить атаки напрямую на backend 🎯
Что сделал:
✅ Проверил концепцию (PoC работает на 100%)
✅ Сравнил файлы — идентичные, 684 KB каждый
✅ Задокументировал всё с командами и выводами
✅ Написал детальный отчёт на 4 страницы
✅ Отправил в программу как второй баг
Severity: High (моя оценка 🎯)
Статистика на текущий момент:
📊 Отправлено отчётов: 2
🎯 Средняя severity: High
⏱️ Общее время на оба: ~4 часа работы
💰 Потенциальная выплата: если оба примут как High — это будет очень хорошо 😎
Уроки сегодняшнего дня:
1️⃣ Всегда проверяй IP-адреса из скоупа — иногда они там не просто так
2️⃣ WAF — это не всегда непробиваемая стена — бывают misconfiguration
3️⃣ Host header может быть твоим другом — если backend не валидирует источник
4️⃣ Один баг может привести к другому — продолжай копать то, что уже нашёл
5️⃣ Терпение и методичность — не бросай таргет после первой находки
Мысли вслух:
Чувствую себя как после хорошей CTF-задачки 😄 Волнуюсь, конечно — второй отчёт может быть посчитан как duplicate первого (хотя это разные уязвимости!). Но я максимально детально описал, почему это отдельная проблема. Если примут оба — будет просто космос! 🌟
А пока жду ответов (по первому должны ответить через пару дней). Время показывает, что методичный подход работает лучше хаотичного сканирования. Знание скоупа + понимание архитектуры = профит! 💎
#дневникхакера #bugbounty #infosec #cybersecurity #pentest #wafbypass #securitybypass #хакинг #безопасность #этичныйхакинг #redteam #bugbountyhunter #highseverity #APIsecurity #securitymisconfiguration
Привет, хакеры! 💻 Сегодня был абсолютно ОГНЕННЫЙ день в баг-баунти! 🚀 Продолжаю копать ту самую программу, о которой писал в прошлый раз (NDA, поэтому без деталей 🤫).
Краткое напоминание:
Несколько дней назад нашёл серьёзный баг — раскрытие API документации с 995 endpoints. Отправил отчёт, severity оценил как High. Теперь жду ответа (должны ответить в течение 5 рабочих дней).
📊
А сегодня случилось МАГИЯ: ✨
Продолжил копать ту же систему, и… нашёл способ обойти их Web Application Firewall! 🔓💥
Вот как это работало:
• Система защищена WAF (серьёзный корпоративный уровень защиты)
• Через обычный домен — всё блокируется, как и должно быть
• НО! В скоупе программы указаны IP-адреса backend-серверов 👀
• Подключился напрямую к IP с подменой Host заголовка…
• И БАМ! 💣 WAF полностью обошёлся, получил доступ к тем же 684 KB API документации!
Что это значит:
Это уже отдельная уязвимость класса Security Control Bypass! Даже если первый баг исправят, обход WAF через прямой доступ к IP — это критичная проблема сама по себе. Атакующий может:
• Игнорировать все правила фильтрации
• Обходить rate limiting
• Избегать обнаружения системами мониторинга
• Проводить атаки напрямую на backend 🎯
Что сделал:
✅ Проверил концепцию (PoC работает на 100%)
✅ Сравнил файлы — идентичные, 684 KB каждый
✅ Задокументировал всё с командами и выводами
✅ Написал детальный отчёт на 4 страницы
✅ Отправил в программу как второй баг
Severity: High (моя оценка 🎯)
Статистика на текущий момент:
📊 Отправлено отчётов: 2
🎯 Средняя severity: High
⏱️ Общее время на оба: ~4 часа работы
💰 Потенциальная выплата: если оба примут как High — это будет очень хорошо 😎
Уроки сегодняшнего дня:
1️⃣ Всегда проверяй IP-адреса из скоупа — иногда они там не просто так
2️⃣ WAF — это не всегда непробиваемая стена — бывают misconfiguration
3️⃣ Host header может быть твоим другом — если backend не валидирует источник
4️⃣ Один баг может привести к другому — продолжай копать то, что уже нашёл
5️⃣ Терпение и методичность — не бросай таргет после первой находки
Мысли вслух:
Чувствую себя как после хорошей CTF-задачки 😄 Волнуюсь, конечно — второй отчёт может быть посчитан как duplicate первого (хотя это разные уязвимости!). Но я максимально детально описал, почему это отдельная проблема. Если примут оба — будет просто космос! 🌟
А пока жду ответов (по первому должны ответить через пару дней). Время показывает, что методичный подход работает лучше хаотичного сканирования. Знание скоупа + понимание архитектуры = профит! 💎
#дневникхакера #bugbounty #infosec #cybersecurity #pentest #wafbypass #securitybypass #хакинг #безопасность #этичныйхакинг #redteam #bugbountyhunter #highseverity #APIsecurity #securitymisconfiguration
🎯 Дневник Хакера | Accepted — или когда терпение окупается
Привет, хакеры! 💻 Сегодня случилось то, ради чего мы все это делаем — получил ACCEPTED в крупной bug bounty программе! 🔥🎉
Что было:
Несколько дней назад нашёл серьёзную уязвимость — публичное раскрытие полной схемы API Gateway с 995 endpoints. Написал детальный отчёт, приложил скриншоты, описал impact, рекомендации по исправлению. Отправил и начал ждать… ⏱️
По правилам программы они должны ответить в течение 5 рабочих дней. И вот сегодня пришёл ответ! 📧
Что ответили:
“Подробная информация по данному отчёту была передана команде безопасности. Спасибо за ваш интерес к информационной безопасности! Ждем от вас новых отчетов.”
ЭТО ПРИНЯТИЕ! ✅✅✅
Не rejected, не duplicate, не informative — ACCEPTED и передан на обработку! 🎯
Что это значит:
🔥 Уязвимость подтверждена
🔥 Отчёт передан команде безопасности для исправления
🔥 Severity будет определён в ближайшие 15 дней
🔥 Выплата придёт примерно через месяц после принятия
Моя оценка severity: High (по шкале программы это серьёзный уровень)
Почему High, а не Medium/Low:
1️⃣ Масштаб: 995 endpoints, а не 10-20
2️⃣ Раскрыты internal commands (помечены как “внутренняя команда”)
3️⃣ Полная карта API с бизнес-логикой и схемами данных
4️⃣ Attack surface mapping для дальнейших атак (IDOR, SQLi, Auth Bypass)
5️⃣ Конфиденциальная архитектурная информация системы
Уроки из этого опыта:
✅ Терпение — ключ к успеху — не всегда баги находятся за 5 минут
✅ Качество > Количество — лучше один детальный отчёт, чем 10 поверхностных
✅ Документация = профессионализм — скрины, команды, PoC, рекомендации
✅ Понимание impact — объясни ПОЧЕМУ это опасно, а не просто ЧТО нашёл
✅ Следование правилам — использовал X-BugBounty header, соблюдал rate limit
Что дальше:
Сегодня также попробовал отправить второй отчёт (нашёл способ обойти их WAF через прямой доступ к IP-адресу), но его закрыли как duplicate первого. Хотя я считаю что это разные уязвимости — готовлю апелляцию с аргументами. Посмотрим что ответят 🤔
Но даже если второй не примут — первый отчет с accepted уже большая победа! 🏆
Статистика на данный момент:
📊 Отправлено отчётов: 2
✅ Accepted: 1
⏳ На рассмотрении/апелляции: 1
⏱️ Время до первого accepted: ~3 дня
🎯 Expected severity: High
Что планирую дальше:
Пока ждём severity и выплату, продолжу копать эту же программу. У меня теперь есть полная карта API (995 endpoints), и я знаю структуру системы. Следующий шаг — искать IDOR или authorization bypass на этих endpoint’ах. Может быть найду что-то Critical! 💣
P.S. Да, я по-прежнему соблюдаю NDA 😉 Никаких названий, конкретных доменов или технических деталей, которые могут идентифицировать систему. Но опытом и процессом важно делиться!
P.P.S. Для тех кто только начинает в bug bounty — не сдавайтесь после первых rejected’ов! Это нормально. Изучайте программы, читайте правила, пишите качественные отчёты. Рано или поздно придёт тот самый Accepted 🎯
#дневникхакера #bugbounty #infosec #cybersecurity #accepted #pentest #хакинг #безопасность #этичныйхакинг #redteam #bugbountyhunter #highseverity #APIsecurity #milestone
Привет, хакеры! 💻 Сегодня случилось то, ради чего мы все это делаем — получил ACCEPTED в крупной bug bounty программе! 🔥🎉
Что было:
Несколько дней назад нашёл серьёзную уязвимость — публичное раскрытие полной схемы API Gateway с 995 endpoints. Написал детальный отчёт, приложил скриншоты, описал impact, рекомендации по исправлению. Отправил и начал ждать… ⏱️
По правилам программы они должны ответить в течение 5 рабочих дней. И вот сегодня пришёл ответ! 📧
Что ответили:
“Подробная информация по данному отчёту была передана команде безопасности. Спасибо за ваш интерес к информационной безопасности! Ждем от вас новых отчетов.”
ЭТО ПРИНЯТИЕ! ✅✅✅
Не rejected, не duplicate, не informative — ACCEPTED и передан на обработку! 🎯
Что это значит:
🔥 Уязвимость подтверждена
🔥 Отчёт передан команде безопасности для исправления
🔥 Severity будет определён в ближайшие 15 дней
🔥 Выплата придёт примерно через месяц после принятия
Моя оценка severity: High (по шкале программы это серьёзный уровень)
Почему High, а не Medium/Low:
1️⃣ Масштаб: 995 endpoints, а не 10-20
2️⃣ Раскрыты internal commands (помечены как “внутренняя команда”)
3️⃣ Полная карта API с бизнес-логикой и схемами данных
4️⃣ Attack surface mapping для дальнейших атак (IDOR, SQLi, Auth Bypass)
5️⃣ Конфиденциальная архитектурная информация системы
Уроки из этого опыта:
✅ Терпение — ключ к успеху — не всегда баги находятся за 5 минут
✅ Качество > Количество — лучше один детальный отчёт, чем 10 поверхностных
✅ Документация = профессионализм — скрины, команды, PoC, рекомендации
✅ Понимание impact — объясни ПОЧЕМУ это опасно, а не просто ЧТО нашёл
✅ Следование правилам — использовал X-BugBounty header, соблюдал rate limit
Что дальше:
Сегодня также попробовал отправить второй отчёт (нашёл способ обойти их WAF через прямой доступ к IP-адресу), но его закрыли как duplicate первого. Хотя я считаю что это разные уязвимости — готовлю апелляцию с аргументами. Посмотрим что ответят 🤔
Но даже если второй не примут — первый отчет с accepted уже большая победа! 🏆
Статистика на данный момент:
📊 Отправлено отчётов: 2
✅ Accepted: 1
⏳ На рассмотрении/апелляции: 1
⏱️ Время до первого accepted: ~3 дня
🎯 Expected severity: High
Что планирую дальше:
Пока ждём severity и выплату, продолжу копать эту же программу. У меня теперь есть полная карта API (995 endpoints), и я знаю структуру системы. Следующий шаг — искать IDOR или authorization bypass на этих endpoint’ах. Может быть найду что-то Critical! 💣
P.S. Да, я по-прежнему соблюдаю NDA 😉 Никаких названий, конкретных доменов или технических деталей, которые могут идентифицировать систему. Но опытом и процессом важно делиться!
P.P.S. Для тех кто только начинает в bug bounty — не сдавайтесь после первых rejected’ов! Это нормально. Изучайте программы, читайте правила, пишите качественные отчёты. Рано или поздно придёт тот самый Accepted 🎯
#дневникхакера #bugbounty #infosec #cybersecurity #accepted #pentest #хакинг #безопасность #этичныйхакинг #redteam #bugbountyhunter #highseverity #APIsecurity #milestone