Всем привет!
А вот и финальный разбор в нашей серии! Последний пазл, флаг за который дал целых 400 очков. Иногда самая простая ошибка — оставить introspection в GraphQL — становится очень дорогой...
Persik ICO Writeup
Проверим включена ли introspection:
Из схемы составим query getEligibleUsers и получим список список адресов участников airdrop'а:
Выберем любой адрес и передадим его в checkAirdrop:
Опционально можно было использовать адрес администратора из admin query:
На этом серия разборов подходит к концу. Мы прошли путь от базовых уязвимостей до тонкостей GraphQL, где одна невыключенная настройка открыла доступ ко всей логике и данным сервиса. Этот таск — отличное напоминание: безопасность API часто ломается на самых простых вещах: забытых отладочных интерфейсах, излишней детализации ошибок или избыточных правах.
Предыдущие разборы серии:
1 часть
2 часть
3 часть
VK Security | Буст этому каналу
#разбор #CTF
А вот и финальный разбор в нашей серии! Последний пазл, флаг за который дал целых 400 очков. Иногда самая простая ошибка — оставить introspection в GraphQL — становится очень дорогой...
Persik ICO Writeup
category: web, points: 400
Airdrop токена Persik уже прошёл, а вы - опоздали ... но сервис хранит больше данных, чем должен!
Достаньте любой eligible-адрес и заберите флаг
После подключения кошелька видно, что для проверки участвует ли адрес в airdrop'е отсылается GraphQL query checkAirdrop на эндпойнт /graphql. Увидим, что по этому пути нам доступен GraphiQL.
Проверим включена ли introspection:
query { __schema { types { name kind fields { name type { name kind } } } } }
Из схемы составим query getEligibleUsers и получим список список адресов участников airdrop'а:
query GetEligibleUsers { getEligibleUsers { address tokensClaimed airdropEligible } }
Выберем любой адрес и передадим его в checkAirdrop:
query CheckAirdrop($addr: String!) { checkAirdrop(address: $addr) { address tokensClaimed airdropEligible flag } }
И получим флаг:
{
"data": {
"checkAirdrop": {
"address": "0x8ba1f109551bD432803012645aac136c22C19e00",
"tokensClaimed": 3000,
"airdropEligible": true,
"flag": "vkctf{edd3417a9eb5c85b361d196e504b05a0}"
}
}
}
Опционально можно было использовать адрес администратора из admin query:
query AdminInfo { admin { secretKey vaultAddr } }
На этом серия разборов подходит к концу. Мы прошли путь от базовых уязвимостей до тонкостей GraphQL, где одна невыключенная настройка открыла доступ ко всей логике и данным сервиса. Этот таск — отличное напоминание: безопасность API часто ломается на самых простых вещах: забытых отладочных интерфейсах, излишней детализации ошибок или избыточных правах.
Предыдущие разборы серии:
1 часть
2 часть
3 часть
VK Security | Буст этому каналу
#разбор #CTF
👍5❤3🔥3🏆1
Сезон VK Security Confab 2026 объявляем открытым! И первая встреча — Bug Bounty Edition.
Когда: 19 марта
Где: Москва, БЦ SkyLight
Есть крутой кейс, полезный лайфхак или история, которыми стоит поделиться с коммьюнити? Приходите выступать! Ждем ваши заявки до 26 февраля.
🔹 Хочу выступить!
VK Security | Буст этому каналу
#confab #митап #bugbounty
Когда: 19 марта
Где: Москва, БЦ SkyLight
Есть крутой кейс, полезный лайфхак или история, которыми стоит поделиться с коммьюнити? Приходите выступать! Ждем ваши заявки до 26 февраля.
VK Security | Буст этому каналу
#confab #митап #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥10❤5👏3✍2
Привет! Меня зовут Владислав Верусь, я из команды инфраструктурной безопасности. Хочу рассказать кейс: один инцидент заставил нас полностью пересмотреть подход к GitHub — и в итоге привел к созданию собственной платформы для аудита безопасности.
Всё началось с отчёта от багхантера. В одном из наших публичных репозиториев на GitHub была опасная настройка: использовался триггер pull_request_target. Если кратко, он позволял коду из внешнего Pull Request запускаться с правами основной ветки — со всеми секретами и доступом.
Когда мы разбирали ситуацию, то поняли главное: проблема была не в одной настройке. У нас не было целостной картины. Мы не знали полного списка репозиториев, не отслеживали используемые сторонние скрипты и не имели системы мониторинга для таких рисков.
Мы решили не просто латать дыры, а выстроить полноценный процесс. Так появился внутренний проект — Mega GitHub Security Automation (MGSA). Мы прошли несколько ключевых этапов:
1️⃣ Инвентаризация и контроль Actions. Мы нашли и проанализировали все сторонние скрипты в репозиториях (57 штук) и ввели «белый список». Теперь любой новый Action можно добавить только через запрос с согласованием безопасности.
2️⃣ Харденинг. Мы написали подробное руководство по безопасности для репозиториев. Оно включает настройки доступа, защиту веток, обязательное использование Dependabot для обновлений и Secret Scanning для поиска утечек токенов.
3️⃣ Автоматизация проверок. Чтобы стандарт работал, мы написали скрипты для сбора данных и мониторинга. Они показывали, какие репозитории отклоняются от правил. Это дало нам первую видимость.
Что это дало:
• Контроль над тем, какой код выполняется в наших CI/CD процессах.
• Понимание рисков и чек-лист для оценки новых настроек.
• Единые правила для всех команд, кто работает с GitHub.
Но на этом мы не остановились. Со временем старая система, построенная на скриптах, перестала справляться с ростом числа проектов и новых требований.
Мы пересобрали наш проект в MGSA — платформу с веб-интерфейсом. Теперь вместо сложных отчётов есть наглядный дашборд. В нём видно:
🔹 Все репозитории и их статус безопасности.
🔹 Конкретные проблемы с ссылками на правила.
🔹 Возможность запустить проверку любого репозитория по запросу.
Это сделало работу и для нас, и для разработчиков гораздо проще и прозрачнее.
Что будет дальше?
Сейчас мы развиваем MGSA в трёх направлениях:
▫️ Масштабирование. Подключаем репозитории новых команд и проектов.
▫️ Расширение. Мы хотим, чтобы платформа работала не только с GitHub, но и с нашим внутренним GitLab, став единым центром аудита для всех Git-платформ.
▫️ Интеграция. Планируем связать её с другими системами безопасности, например, для статического анализа кода (SAST), чтобы видеть полную картину по каждому проекту.
Мы прошли от реакции на одну уязвимость до построения проактивной системы, которая помогает предотвращать проблемы на раннем этапе. Главные выводы: нужны чёткие правила, автоматизация их проверки и, что важно, — удобный инструмент, который позволяет всем участникам процесса видеть общую картину.
VK Security | Буст этому каналу
#эксперты #проект #mgsa
Всё началось с отчёта от багхантера. В одном из наших публичных репозиториев на GitHub была опасная настройка: использовался триггер pull_request_target. Если кратко, он позволял коду из внешнего Pull Request запускаться с правами основной ветки — со всеми секретами и доступом.
Злоумышленник мог бы украсть токены, подменить процесс сборки или даже захватить репозиторий. К счастью, хакер действовал добросовестно и просто показал уязвимость.
Когда мы разбирали ситуацию, то поняли главное: проблема была не в одной настройке. У нас не было целостной картины. Мы не знали полного списка репозиториев, не отслеживали используемые сторонние скрипты и не имели системы мониторинга для таких рисков.
Мы решили не просто латать дыры, а выстроить полноценный процесс. Так появился внутренний проект — Mega GitHub Security Automation (MGSA). Мы прошли несколько ключевых этапов:
Что это дало:
• Контроль над тем, какой код выполняется в наших CI/CD процессах.
• Понимание рисков и чек-лист для оценки новых настроек.
• Единые правила для всех команд, кто работает с GitHub.
Но на этом мы не остановились. Со временем старая система, построенная на скриптах, перестала справляться с ростом числа проектов и новых требований.
Мы пересобрали наш проект в MGSA — платформу с веб-интерфейсом. Теперь вместо сложных отчётов есть наглядный дашборд. В нём видно:
Это сделало работу и для нас, и для разработчиков гораздо проще и прозрачнее.
Что будет дальше?
Сейчас мы развиваем MGSA в трёх направлениях:
Мы прошли от реакции на одну уязвимость до построения проактивной системы, которая помогает предотвращать проблемы на раннем этапе. Главные выводы: нужны чёткие правила, автоматизация их проверки и, что важно, — удобный инструмент, который позволяет всем участникам процесса видеть общую картину.
VK Security | Буст этому каналу
#эксперты #проект #mgsa
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥14❤7✍6👍2🤝1
Всем привет!
Продолжаем практику раскрытия отчётов от багхантеров! В этой подборке — находки, которые объединяет внимательность к деталям: нестабильная XSS, инъекция через SVG и тайминг-атака на странице восстановления аккаунта.
Нестабильная XSS
На сайте lady․mail․ru в параметре поиска q обнаружилась Reflected XSS, которая срабатывала не с первого раза. Но даже такая уязвимость не теряет актуальности: при повторных запросах код выполняется, а значит, злоумышленник может украсть куки или сессии. Уязвимость затрагивала несколько поддоменов:
▫️ tv․mail․ru;
▫️ health․mail․ru;
▫️ deti․mail․ru;
но фикс был в одном месте.
🔹 Ссылка на отчет
XSS через SVG
В параметре query на otvet․mail․ru сработала инъекция через вложенные теги <svg>+<style>+<img>. После перехода по ссылке вредоносный код внедрялся в посты пользователей и выполнялся, оставаясь незаметным в URL.
🔹 Ссылка на отчет
Тайминг-атака на восстановление аккаунта VK ID
На странице id․vk․com/restore время ответа сервера отличалось для валидного и невалидного номера телефона (≈160 мс против ≈120 мс). Разница позволила написать скрипт для перебора номеров со скоростью 670 запросов в секунду — весь диапазон российских номеров можно было подобрать за короткое время.
🔹 Ссылка на отчет
Это только начало — мы будем и дальше выкладывать отчёты, так что следите за обновлениями!
🔹 Обсудить репорты вживую, поспорить с коллегами и задать вопросы экспертам VK? Легко! 19 марта на VK Security Confab!
Зарегистрироваться
VK Security | Буст этому каналу!
#bugbounty #разборы #confab
Продолжаем практику раскрытия отчётов от багхантеров! В этой подборке — находки, которые объединяет внимательность к деталям: нестабильная XSS, инъекция через SVG и тайминг-атака на странице восстановления аккаунта.
Нестабильная XSS
На сайте lady․mail․ru в параметре поиска q обнаружилась Reflected XSS, которая срабатывала не с первого раза. Но даже такая уязвимость не теряет актуальности: при повторных запросах код выполняется, а значит, злоумышленник может украсть куки или сессии. Уязвимость затрагивала несколько поддоменов:
но фикс был в одном месте.
XSS через SVG
В параметре query на otvet․mail․ru сработала инъекция через вложенные теги <svg>+<style>+<img>. После перехода по ссылке вредоносный код внедрялся в посты пользователей и выполнялся, оставаясь незаметным в URL.
Тайминг-атака на восстановление аккаунта VK ID
На странице id․vk․com/restore время ответа сервера отличалось для валидного и невалидного номера телефона (≈160 мс против ≈120 мс). Разница позволила написать скрипт для перебора номеров со скоростью 670 запросов в секунду — весь диапазон российских номеров можно было подобрать за короткое время.
Это только начало — мы будем и дальше выкладывать отчёты, так что следите за обновлениями!
Зарегистрироваться
VK Security | Буст этому каналу!
#bugbounty #разборы #confab
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13❤4🤩3👍2🤓2🤔1👨💻1
Передали канал на время нашему HR-специалисту @lisenkova_a, чтобы она рассказала о свежих вакансиях в ИБ VK:
Инженер ИБ
Опыт от 5 лет: администрирование СЗИ, автоматизация (Python/Bash), знание Windows и сетей.
👉 Смотреть
AppSec-инженер в MAX
Внедрение SDLC, code review, пентесты веб-приложений/API. Опыт от 2 лет, знание OWASP, умение читать код (Python/Go/Java/JavaScript).
👉 Смотреть
Аналитик SOC
Реагирование на инциденты, разработка правил детектирования, проактивный поиск угроз. Глубокое знание ОС, сетей, SIEM/SOAR. Для L3 — опыт с Git, сертификации приветствуются.
👉 L2 👉 L3
Аналитик антифрода (L2/L3, MAX)
Расследование фрод-схем, выявление бот-сетей, работа с большими данными (SQL, дашборды). L3: калибровка правил, ML, взаимодействие с продуктовыми командами.
👉 L2 👉 L3
Data Protection & Governance Engineer (MAX)
Гибридная роль: трансляция 152-ФЗ в технические требования, data mapping, аудит систем. Знание SQL, Data Discovery, ELK, Privacy by Design.
👉 Смотреть
Ведущий инженер доступности в команду SOC
Развитие пайплайнов логов (Vector/Logstash, Elasticsearch/OpenSearch), настройка CI/CD, Docker, работа с БД (PostgreSQL, ClickHouse, Kafka) и дашбордами Grafana.
👉 Смотреть
Контакт для связи: @lisenkova_a
VK Security | Буст этому каналу!
#вакансии
— Всем привет! Меня зовут Настя, я собрала для вас список актуальных вакансий в Москве! У нас много интересных задач — от защиты высоконагруженных сервисов до расследования сложных инцидентов. Жду ваши резюме!
Инженер ИБ
Опыт от 5 лет: администрирование СЗИ, автоматизация (Python/Bash), знание Windows и сетей.
AppSec-инженер в MAX
Внедрение SDLC, code review, пентесты веб-приложений/API. Опыт от 2 лет, знание OWASP, умение читать код (Python/Go/Java/JavaScript).
Аналитик SOC
Реагирование на инциденты, разработка правил детектирования, проактивный поиск угроз. Глубокое знание ОС, сетей, SIEM/SOAR. Для L3 — опыт с Git, сертификации приветствуются.
Аналитик антифрода (L2/L3, MAX)
Расследование фрод-схем, выявление бот-сетей, работа с большими данными (SQL, дашборды). L3: калибровка правил, ML, взаимодействие с продуктовыми командами.
Data Protection & Governance Engineer (MAX)
Гибридная роль: трансляция 152-ФЗ в технические требования, data mapping, аудит систем. Знание SQL, Data Discovery, ELK, Privacy by Design.
Ведущий инженер доступности в команду SOC
Развитие пайплайнов логов (Vector/Logstash, Elasticsearch/OpenSearch), настройка CI/CD, Docker, работа с БД (PostgreSQL, ClickHouse, Kafka) и дашбордами Grafana.
Если остались вопросы, пишите в комментариях или в личку. Буду на связи!
Контакт для связи: @lisenkova_a
VK Security | Буст этому каналу!
#вакансии
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13✍6😁5👏4❤1