Forwarded from pwned
Patch Diffing
Это метод, используемый исследователями безопасности для анализа изменений между различными версиями программного обеспечения. Сравнивая код двух версий одного и того же программного обеспечения, исследователь может выявить изменения в функциях, переменных и потоке управления.
Обычно для анализа берется 2 версии одного ПО - уязвимая версия и версия с исправлениями, с целью поиска изменений, внесенных в программу, которые, возможно, были внесены для устранения уязвимости. Анализируя эти изменения, исследователь может определить точное местоположение и тип уязвимости, что в результате поможет сделать PoC.
Существует целый гайд, включающий в себя полный цикл исследования уязвимости на примере уязвимостей в сервисе Windows -
Если для большей части систем нам подойдет IDA Pro + BinDiff, то как обстоят дела с Android? Пустившись в поиски хорошего инструмента, наткнулся на кучу научных и не очень работ от 中国同事, в которых рассказывается о данной проблеме и попытках ее решения, но ни в одной работе результатом не стал готовый инструмент с открытым исходным кодом. Вследствие чего,пора пилить свой, решил взглянуть на обычные code-diff инструменты. Взгляд упал на Gumtree. На вход требуется подать вывод от
Для анализа нужно получить несколько версий приложения. С этой задачей поможет справиться apkeep, чтобы указать определенную версию используется следующий синтаксис
#windows #android
Это метод, используемый исследователями безопасности для анализа изменений между различными версиями программного обеспечения. Сравнивая код двух версий одного и того же программного обеспечения, исследователь может выявить изменения в функциях, переменных и потоке управления.
Обычно для анализа берется 2 версии одного ПО - уязвимая версия и версия с исправлениями, с целью поиска изменений, внесенных в программу, которые, возможно, были внесены для устранения уязвимости. Анализируя эти изменения, исследователь может определить точное местоположение и тип уязвимости, что в результате поможет сделать PoC.
Существует целый гайд, включающий в себя полный цикл исследования уязвимости на примере уязвимостей в сервисе Windows -
Print Spooler. Помимо этого, многоуважаемый Никита Aligner проводит стримы, на которых занимается анализом уязвимостей. Записи можно найти на канале Reverse Dungeon.Если для большей части систем нам подойдет IDA Pro + BinDiff, то как обстоят дела с Android? Пустившись в поиски хорошего инструмента, наткнулся на кучу научных и не очень работ от 中国同事, в которых рассказывается о данной проблеме и попытках ее решения, но ни в одной работе результатом не стал готовый инструмент с открытым исходным кодом. Вследствие чего,
apktool d, а результатом анализа будет красивый вывод в нескольких форматах об удаленных, добавленных, измененных файлах и измененном коде.Для анализа нужно получить несколько версий приложения. С этой задачей поможет справиться apkeep, чтобы указать определенную версию используется следующий синтаксис
com.app.android@1.3.7. Помимо этого, у меня есть форк данного инструмента, который немного расширяет функционал, например, использовав флаг --all, можно выгрузить все доступные версии через apkpure, а с флагом --extract результатом являются готовые для анализа директории распакованных APK.#windows #android
❤19👍5
Недавно выпустили плагин BurpSuite, который использует технологии искусственного интеллекта. И нет, это не шутка.
Плагин генерирует имена для директорий, параметров и возможных файлов на основе запросов. Для генерации BruteForce листа используется OpenAI. Насколько это эффективно предстоит ещё проверить, но в целом — когда идей больше нет, можно обратиться к ней, чтобы получить "креатива".
На скрине показан пример как нейросеть может описать параметры, для отдельно взятого запроса и результат получается довольно достойным.
github.com/hisxo/ReconAIzer
Плагин генерирует имена для директорий, параметров и возможных файлов на основе запросов. Для генерации BruteForce листа используется OpenAI. Насколько это эффективно предстоит ещё проверить, но в целом — когда идей больше нет, можно обратиться к ней, чтобы получить "креатива".
На скрине показан пример как нейросеть может описать параметры, для отдельно взятого запроса и результат получается довольно достойным.
github.com/hisxo/ReconAIzer
🔥27👍5❤3
Два месяца назад меня пригласили на закрытое багбаунти мероприятие Standoff Hacks. Об этом мероприятии сейчас расскажу подробнее.
Скоуп
Для мероприятия были успешно приглашены две программы от двух компаний:🌐 VK и 🛒 Wildberries.
1. VK HR TEK — сервис для HR, состоящий из нескольких доменов, не очень большая цель. Она доступна публично здесь bb.standoff365.com/programs/hrtek_vk
Но VK дал специальные учётки с ролью Админ, что позволило проверить все конечные точки на уязвимости. Минусом было то, что если вы хотите получить учётки, то вам нужны реальные паспортные данные. Некоторых людей демотивировало проверять данный сервис, учитывая, что вторая цель была больше и не требовала паспортных данных.
2. Wildberries — маркетплейс различных товаров, состоял из двух wildcard включая *.wb.ru , *.wildberries.ru
Идеальный скоуп для охотников в формате ивента, для вас будет сюрпризом наверное, но у компании есть мобильные приложения такие как WB Job, WB Travel, WB Stream (свой Zoom - stream.wb.ru)
Контингент
Всего в мероприятии участвовало 50 человек.
35 охотников (AppSec специалисты, FullTime багхантеры, Разработчики). 5 — организаторов от Standoff (скорее всего больше).
9+ человек от компаний WB и VK.
Мотивация
Изначально я был скептически настроен, на то что хакеры будут активно искать уязвимости во время ивента. Но большинство людей действительно самоорганизовались, некоторые взяли отпуск, кто-то сидел все выходные. Видимо, спортивное настроение и отличный скоуп воодушевил всех.
Также в конце мероприятия был оффлайн день, где арендовали помещение и наготовили "хакерам" еды, многие действительно приехали в этот день из разных городов.
Уязвимостей нашли столько, что обработка отчётов продолжалась непрерывно, даже в последний день. Компании получили, что они желали — большое количество репортов, причём довольно качественных, так как выборка "Хакеров" была довольно достойной.
Уязвимости
Поскольку регистрация на VK HR TEK была проблематичной, а основные сервисы Wildberries наверняка уже проверил кто-то ещё. Я начал искать интересные конечные точки в JS-файлах и мобильных приложениях.
Мне удалось найти конечную точку для администраторов в мобильном приложении WB Курьеры, которая была доступна всем курьерам в системе
В дальнейшем похожие уязвимости в том числе с Различным уровнем серьёзности были найдены в приложении для Водителей и на веб-сайтах. Всё потому что многие интересные конечные точки не были ограничены разрешениями.
Были также найдены уязвимости типа XSS и SQL Injection.
Заключение
Формат мероприятия оказался крутым, Багхантеры получили приватный нетронутый Скоуп, познакомились вживую, организовались в команды, а программы проверили Защищённость своих приложений и процессов AppSec.
Думаю в скором времени мы увидим больше подобных ивентов, и не только от Standoff.
Скоуп
Для мероприятия были успешно приглашены две программы от двух компаний:
1. VK HR TEK — сервис для HR, состоящий из нескольких доменов, не очень большая цель. Она доступна публично здесь bb.standoff365.com/programs/hrtek_vk
Но VK дал специальные учётки с ролью Админ, что позволило проверить все конечные точки на уязвимости. Минусом было то, что если вы хотите получить учётки, то вам нужны реальные паспортные данные. Некоторых людей демотивировало проверять данный сервис, учитывая, что вторая цель была больше и не требовала паспортных данных.
2. Wildberries — маркетплейс различных товаров, состоял из двух wildcard включая *.wb.ru , *.wildberries.ru
Идеальный скоуп для охотников в формате ивента, для вас будет сюрпризом наверное, но у компании есть мобильные приложения такие как WB Job, WB Travel, WB Stream (свой Zoom - stream.wb.ru)
Контингент
Всего в мероприятии участвовало 50 человек.
35 охотников (AppSec специалисты, FullTime багхантеры, Разработчики). 5 — организаторов от Standoff (скорее всего больше).
9+ человек от компаний WB и VK.
Мотивация
Изначально я был скептически настроен, на то что хакеры будут активно искать уязвимости во время ивента. Но большинство людей действительно самоорганизовались, некоторые взяли отпуск, кто-то сидел все выходные. Видимо, спортивное настроение и отличный скоуп воодушевил всех.
Также в конце мероприятия был оффлайн день, где арендовали помещение и наготовили "хакерам" еды, многие действительно приехали в этот день из разных городов.
Уязвимостей нашли столько, что обработка отчётов продолжалась непрерывно, даже в последний день. Компании получили, что они желали — большое количество репортов, причём довольно качественных, так как выборка "Хакеров" была довольно достойной.
Уязвимости
Поскольку регистрация на VK HR TEK была проблематичной, а основные сервисы Wildberries наверняка уже проверил кто-то ещё. Я начал искать интересные конечные точки в JS-файлах и мобильных приложениях.
Мне удалось найти конечную точку для администраторов в мобильном приложении WB Курьеры, которая была доступна всем курьерам в системе
x-courier-api.wildberries.ru/api/v1/admin/courier/reviews?wb_courier_id=<id любого курьера>
Данная конечная точка уязвима к IDOR поскольку wb_courier_id принимает обычное целочисленное значение, которое легко перебирается. В дальнейшем похожие уязвимости в том числе с Различным уровнем серьёзности были найдены в приложении для Водителей и на веб-сайтах. Всё потому что многие интересные конечные точки не были ограничены разрешениями.
Были также найдены уязвимости типа XSS и SQL Injection.
Заключение
Формат мероприятия оказался крутым, Багхантеры получили приватный нетронутый Скоуп, познакомились вживую, организовались в команды, а программы проверили Защищённость своих приложений и процессов AppSec.
Думаю в скором времени мы увидим больше подобных ивентов, и не только от Standoff.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥43👍13🥴5❤4🌭2👎1
Что сдать на ББ чтобы не отправили в спам
Недавно меня пригласили поговорить по мужски за Багбаунти и уязвимости в мобильных приложениях, в целом вышло познавательно
ИБ: @OxFi5t @luigivampa92 @impact_l Разработчик: @osipxd
P.S. первые 5 минут были проблемы со связью
youtube.com/live/DAHdYrSIhp8
Недавно меня пригласили поговорить по мужски за Багбаунти и уязвимости в мобильных приложениях, в целом вышло познавательно
ИБ: @OxFi5t @luigivampa92 @impact_l Разработчик: @osipxd
P.S. первые 5 минут были проблемы со связью
youtube.com/live/DAHdYrSIhp8
YouTube
Что сдать на ББ чтобы не отправили в спам 😎
Внезапная, общеобразовательная активность на канале!
Цель - покрыть вот эти топики:
- какие вообще бывают уязвимости
- что можно считать валидной уязвимостью, а что нет
- как повышать импакт от пустяковых с виду уязвимостей
- почему некоторые вендоры так…
Цель - покрыть вот эти топики:
- какие вообще бывают уязвимости
- что можно считать валидной уязвимостью, а что нет
- как повышать импакт от пустяковых с виду уязвимостей
- почему некоторые вендоры так…
🔥12❤2👍2
swagger.txt
1.3 KB
Для того чтобы найти дополнительные директории в веб-приложении.
1. Можно попытаться найти swagger-файлы, используя брутфорс
💬 Прикреплён словарь в файле swagger.txt
2. Извлечь их из apk
💬 Используем jadx или apktool + grep скачиваем, используя загрузчики
— чем больше тем лучше из-за DMCA:
apkcombo.com/downloader/
apk.support/apk-downloader
apps.evozi.com/apk-downloader/
apkmirror.com
apkpure.com
apkeep
3. Поискать в js на сайте
jsluice
linkfinder (BApp)
4. Извлечь из архива
web.archive.org/cdx/search/cdx?url=evil.com*
gau
5. Открыть WebArchive и поискать в js
web.archive.org/web/20170102091031js_/https://hackerone.com/assets/frontend.09051386.js
1. Можно попытаться найти swagger-файлы, используя брутфорс
💬 Прикреплён словарь в файле swagger.txt
2. Извлечь их из apk
💬 Используем jadx или apktool + grep скачиваем, используя загрузчики
— чем больше тем лучше из-за DMCA:
apkcombo.com/downloader/
apk.support/apk-downloader
apps.evozi.com/apk-downloader/
apkmirror.com
apkpure.com
apkeep
3. Поискать в js на сайте
jsluice
linkfinder (BApp)
4. Извлечь из архива
web.archive.org/cdx/search/cdx?url=evil.com*
gau
5. Открыть WebArchive и поискать в js
web.archive.org/web/20170102091031js_/https://hackerone.com/assets/frontend.09051386.js
🔥24👍10❤🔥2❤1
Вот и закончилась конференция KazHackStan, организаторы были гостеприимны к иностранным гостям, сняли им дорогой отель и угостили барашком.
Доклады, которые были на конференции прикреплены файлами к посту выше:
«Выйди и зайди нормально!» (Ломаем Bitrix)
@i_bo0om
«Атакуем языковые модели»
@wearetyomsmnv
«Что нужно учитывать при первом участии в Bug Bounty?»
@turbobarsuchiha — triage team Standoff365
«Ломаем Ethereum: Пентестинг Смарт-Контрактов»
@gspdnsobaka — triage team Immunefi
«Red Purple Team»
@Sn0w7 — lead MTC RED
«DevSecOps»
@gazizovasg — Swordfish
«Как ломать SAML, если у меня лапки?»
@agrrrdog — Acunetix
«Offensive OSINT»
@adkkkkkkkk — Innostage
Доклады, которые были на конференции прикреплены файлами к посту выше:
«Выйди и зайди нормально!» (Ломаем Bitrix)
@i_bo0om
«Атакуем языковые модели»
@wearetyomsmnv
«Что нужно учитывать при первом участии в Bug Bounty?»
@turbobarsuchiha — triage team Standoff365
«Ломаем Ethereum: Пентестинг Смарт-Контрактов»
@gspdnsobaka — triage team Immunefi
@Sn0w7 — lead MTC RED
«DevSecOps»
@gazizovasg — Swordfish
«Как ломать SAML, если у меня лапки?»
@agrrrdog — Acunetix
«Offensive OSINT»
@adkkkkkkkk — Innostage
🔥21👍8❤6❤🔥1🌚1
Выпустили Nuclei v3 — добавили возможность писать код на bash, Python, Javascipt прямо в YAML файлах. А также запускать другие утилиты, например sqlmap.
Поскольку теперь шаблоны могут выполнять код, нужно задаться вопросом безопасности, в статье релиза сказано что шаблоны модерируются и подписываются подписью. Поскольку теперь поддерживаются разные "протоколы" можно вытащить например СNAME для доменов.
Получается Nuclei это теперь оркестратор с поддержкой Javanoscript 🤔
blog.projectdiscovery.io/nuclei-v3-featurefusion/
Поскольку теперь шаблоны могут выполнять код, нужно задаться вопросом безопасности, в статье релиза сказано что шаблоны модерируются и подписываются подписью. Поскольку теперь поддерживаются разные "протоколы" можно вытащить например СNAME для доменов.
Получается Nuclei это теперь оркестратор с поддержкой Javanoscript 🤔
code:
- engine:
- sh
- bash
source: |
echo "$OAST" | base64
- engine:
- py
- python3
source: |
import base64
import os
text = os.getenv('OAST')
text_bytes = text.encode('utf-8')
blog.projectdiscovery.io/nuclei-v3-featurefusion/
ProjectDiscovery
Introducing Nuclei v3 with improved vulnerability scanning features — ProjectDiscovery Blog
ProjectDiscovery has been working hard over the recent months! Recent template releases have been covering important CVEs and other exploitable vulnerabilities, we’ve been speaking at various conferences, and moreover, we’ve been crafting and writing major…
👍19❤🔥6🔥5❤1
Недавно OpenAI представила для подписчиков Plus контекстное окно в 32к токенов! А еще возможность создания кастомных GPT на основе своих данных.
Мне пришла идея создать свою сборку — загрузить чеклисты и методологии файлами в конфигуратор.
Представляю вашему вниманию Кавычка GPT
Теперь модель больше не будет спорить с вами об этичности пэйлоадов.
https://chat.openai.com/g/g-5KWmQ9wKU-kavychka-gpt
Мне пришла идея создать свою сборку — загрузить чеклисты и методологии файлами в конфигуратор.
Представляю вашему вниманию Кавычка GPT
Теперь модель больше не будет спорить с вами об этичности пэйлоадов.
https://chat.openai.com/g/g-5KWmQ9wKU-kavychka-gpt
ChatGPT
ChatGPT - Кавычка GPT
appsec & bugbounty
👍27🔥13❤🔥3
Forwarded from SHADOW:Group
Недавно было раскрыто несколько отчетов (например тут или тут), где исследователь просто отслеживал изменения в файлах JS и таким образом находил уязвимости.
Почитать подробнее об этом вы можете тут, а ниже прикладываю инструмент, который поможет вам отслеживать такие изменения и информировать вас о них в телеграмм.
Thx @cyb3r4z
Ссылка на GitHub
#web #tools #js
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - robre/jsmon: a javanoscript change monitoring tool for bugbounties
a javanoscript change monitoring tool for bugbounties - GitHub - robre/jsmon: a javanoscript change monitoring tool for bugbounties
🔥14👍5❤🔥1
Forwarded from Positive Technologies
Если вы всегда мечтали собрать целый стадион, у нас отличные новости: PHDays Fest в этом году пройдет в «Лужниках» в Москве с 23 по 26 мая.
Спортивный комплекс на четыре дня превратится в киберарену: мы создадим настоящий мегаполис с интерактивными инсталляциями, а сотни спикеров расскажут о кибератаках и способах им противостоять.
🤟 Ждем крутых докладов как от профи, так и от новичков: главное — свежий взгляд на актуальные проблемы ИБ и пути их решения. Узнать все подробности и оставить заявку можно на сайте киберфестиваля.
• Темы докладов принимаются до 15 марта
• Будут два формата: доклад на 50 минут и короткое выступление на 15 минут.
• Подавать заявку необходимо лично
До встречи на втором международном киберфестивале PHDays!
Больше подробностей — soon.
@Positive_Technologies
#PHD2
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤1
Новая статья в блоге PT SWARM про раскрытие исходного кода asp[.]net приложений
https://swarm.ptsecurity.com/source-code-disclosure-in-asp-net-apps/
https://swarm.ptsecurity.com/source-code-disclosure-in-asp-net-apps/
PT SWARM
Source Code Disclosure in ASP.NET apps
Earn $10,000 on bugbounty with this little trick!
🔥11👍3❤🔥2
Forwarded from Поросёнок Пётр
В нашем новом выпуске мы пригласили человека из мира мобильного багхантинга, активного участника форума Antichat, и автора проекта reFlutter. Его история вызывает восхищение и уважение 🦾
https://youtu.be/2KCSxYQ543M
https://youtu.be/2KCSxYQ543M
🔥31👍6🤔1