Два месяца назад меня пригласили на закрытое багбаунти мероприятие Standoff Hacks. Об этом мероприятии сейчас расскажу подробнее.
Скоуп
Для мероприятия были успешно приглашены две программы от двух компаний:🌐 VK и 🛒 Wildberries.
1. VK HR TEK — сервис для HR, состоящий из нескольких доменов, не очень большая цель. Она доступна публично здесь bb.standoff365.com/programs/hrtek_vk
Но VK дал специальные учётки с ролью Админ, что позволило проверить все конечные точки на уязвимости. Минусом было то, что если вы хотите получить учётки, то вам нужны реальные паспортные данные. Некоторых людей демотивировало проверять данный сервис, учитывая, что вторая цель была больше и не требовала паспортных данных.
2. Wildberries — маркетплейс различных товаров, состоял из двух wildcard включая *.wb.ru , *.wildberries.ru
Идеальный скоуп для охотников в формате ивента, для вас будет сюрпризом наверное, но у компании есть мобильные приложения такие как WB Job, WB Travel, WB Stream (свой Zoom - stream.wb.ru)
Контингент
Всего в мероприятии участвовало 50 человек.
35 охотников (AppSec специалисты, FullTime багхантеры, Разработчики). 5 — организаторов от Standoff (скорее всего больше).
9+ человек от компаний WB и VK.
Мотивация
Изначально я был скептически настроен, на то что хакеры будут активно искать уязвимости во время ивента. Но большинство людей действительно самоорганизовались, некоторые взяли отпуск, кто-то сидел все выходные. Видимо, спортивное настроение и отличный скоуп воодушевил всех.
Также в конце мероприятия был оффлайн день, где арендовали помещение и наготовили "хакерам" еды, многие действительно приехали в этот день из разных городов.
Уязвимостей нашли столько, что обработка отчётов продолжалась непрерывно, даже в последний день. Компании получили, что они желали — большое количество репортов, причём довольно качественных, так как выборка "Хакеров" была довольно достойной.
Уязвимости
Поскольку регистрация на VK HR TEK была проблематичной, а основные сервисы Wildberries наверняка уже проверил кто-то ещё. Я начал искать интересные конечные точки в JS-файлах и мобильных приложениях.
Мне удалось найти конечную точку для администраторов в мобильном приложении WB Курьеры, которая была доступна всем курьерам в системе
В дальнейшем похожие уязвимости в том числе с Различным уровнем серьёзности были найдены в приложении для Водителей и на веб-сайтах. Всё потому что многие интересные конечные точки не были ограничены разрешениями.
Были также найдены уязвимости типа XSS и SQL Injection.
Заключение
Формат мероприятия оказался крутым, Багхантеры получили приватный нетронутый Скоуп, познакомились вживую, организовались в команды, а программы проверили Защищённость своих приложений и процессов AppSec.
Думаю в скором времени мы увидим больше подобных ивентов, и не только от Standoff.
Скоуп
Для мероприятия были успешно приглашены две программы от двух компаний:
1. VK HR TEK — сервис для HR, состоящий из нескольких доменов, не очень большая цель. Она доступна публично здесь bb.standoff365.com/programs/hrtek_vk
Но VK дал специальные учётки с ролью Админ, что позволило проверить все конечные точки на уязвимости. Минусом было то, что если вы хотите получить учётки, то вам нужны реальные паспортные данные. Некоторых людей демотивировало проверять данный сервис, учитывая, что вторая цель была больше и не требовала паспортных данных.
2. Wildberries — маркетплейс различных товаров, состоял из двух wildcard включая *.wb.ru , *.wildberries.ru
Идеальный скоуп для охотников в формате ивента, для вас будет сюрпризом наверное, но у компании есть мобильные приложения такие как WB Job, WB Travel, WB Stream (свой Zoom - stream.wb.ru)
Контингент
Всего в мероприятии участвовало 50 человек.
35 охотников (AppSec специалисты, FullTime багхантеры, Разработчики). 5 — организаторов от Standoff (скорее всего больше).
9+ человек от компаний WB и VK.
Мотивация
Изначально я был скептически настроен, на то что хакеры будут активно искать уязвимости во время ивента. Но большинство людей действительно самоорганизовались, некоторые взяли отпуск, кто-то сидел все выходные. Видимо, спортивное настроение и отличный скоуп воодушевил всех.
Также в конце мероприятия был оффлайн день, где арендовали помещение и наготовили "хакерам" еды, многие действительно приехали в этот день из разных городов.
Уязвимостей нашли столько, что обработка отчётов продолжалась непрерывно, даже в последний день. Компании получили, что они желали — большое количество репортов, причём довольно качественных, так как выборка "Хакеров" была довольно достойной.
Уязвимости
Поскольку регистрация на VK HR TEK была проблематичной, а основные сервисы Wildberries наверняка уже проверил кто-то ещё. Я начал искать интересные конечные точки в JS-файлах и мобильных приложениях.
Мне удалось найти конечную точку для администраторов в мобильном приложении WB Курьеры, которая была доступна всем курьерам в системе
x-courier-api.wildberries.ru/api/v1/admin/courier/reviews?wb_courier_id=<id любого курьера>
Данная конечная точка уязвима к IDOR поскольку wb_courier_id принимает обычное целочисленное значение, которое легко перебирается. В дальнейшем похожие уязвимости в том числе с Различным уровнем серьёзности были найдены в приложении для Водителей и на веб-сайтах. Всё потому что многие интересные конечные точки не были ограничены разрешениями.
Были также найдены уязвимости типа XSS и SQL Injection.
Заключение
Формат мероприятия оказался крутым, Багхантеры получили приватный нетронутый Скоуп, познакомились вживую, организовались в команды, а программы проверили Защищённость своих приложений и процессов AppSec.
Думаю в скором времени мы увидим больше подобных ивентов, и не только от Standoff.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥43👍13🥴5❤4🌭2👎1
Что сдать на ББ чтобы не отправили в спам
Недавно меня пригласили поговорить по мужски за Багбаунти и уязвимости в мобильных приложениях, в целом вышло познавательно
ИБ: @OxFi5t @luigivampa92 @impact_l Разработчик: @osipxd
P.S. первые 5 минут были проблемы со связью
youtube.com/live/DAHdYrSIhp8
Недавно меня пригласили поговорить по мужски за Багбаунти и уязвимости в мобильных приложениях, в целом вышло познавательно
ИБ: @OxFi5t @luigivampa92 @impact_l Разработчик: @osipxd
P.S. первые 5 минут были проблемы со связью
youtube.com/live/DAHdYrSIhp8
YouTube
Что сдать на ББ чтобы не отправили в спам 😎
Внезапная, общеобразовательная активность на канале!
Цель - покрыть вот эти топики:
- какие вообще бывают уязвимости
- что можно считать валидной уязвимостью, а что нет
- как повышать импакт от пустяковых с виду уязвимостей
- почему некоторые вендоры так…
Цель - покрыть вот эти топики:
- какие вообще бывают уязвимости
- что можно считать валидной уязвимостью, а что нет
- как повышать импакт от пустяковых с виду уязвимостей
- почему некоторые вендоры так…
🔥12❤2👍2
swagger.txt
1.3 KB
Для того чтобы найти дополнительные директории в веб-приложении.
1. Можно попытаться найти swagger-файлы, используя брутфорс
💬 Прикреплён словарь в файле swagger.txt
2. Извлечь их из apk
💬 Используем jadx или apktool + grep скачиваем, используя загрузчики
— чем больше тем лучше из-за DMCA:
apkcombo.com/downloader/
apk.support/apk-downloader
apps.evozi.com/apk-downloader/
apkmirror.com
apkpure.com
apkeep
3. Поискать в js на сайте
jsluice
linkfinder (BApp)
4. Извлечь из архива
web.archive.org/cdx/search/cdx?url=evil.com*
gau
5. Открыть WebArchive и поискать в js
web.archive.org/web/20170102091031js_/https://hackerone.com/assets/frontend.09051386.js
1. Можно попытаться найти swagger-файлы, используя брутфорс
💬 Прикреплён словарь в файле swagger.txt
2. Извлечь их из apk
💬 Используем jadx или apktool + grep скачиваем, используя загрузчики
— чем больше тем лучше из-за DMCA:
apkcombo.com/downloader/
apk.support/apk-downloader
apps.evozi.com/apk-downloader/
apkmirror.com
apkpure.com
apkeep
3. Поискать в js на сайте
jsluice
linkfinder (BApp)
4. Извлечь из архива
web.archive.org/cdx/search/cdx?url=evil.com*
gau
5. Открыть WebArchive и поискать в js
web.archive.org/web/20170102091031js_/https://hackerone.com/assets/frontend.09051386.js
🔥24👍10❤🔥2❤1
Вот и закончилась конференция KazHackStan, организаторы были гостеприимны к иностранным гостям, сняли им дорогой отель и угостили барашком.
Доклады, которые были на конференции прикреплены файлами к посту выше:
«Выйди и зайди нормально!» (Ломаем Bitrix)
@i_bo0om
«Атакуем языковые модели»
@wearetyomsmnv
«Что нужно учитывать при первом участии в Bug Bounty?»
@turbobarsuchiha — triage team Standoff365
«Ломаем Ethereum: Пентестинг Смарт-Контрактов»
@gspdnsobaka — triage team Immunefi
«Red Purple Team»
@Sn0w7 — lead MTC RED
«DevSecOps»
@gazizovasg — Swordfish
«Как ломать SAML, если у меня лапки?»
@agrrrdog — Acunetix
«Offensive OSINT»
@adkkkkkkkk — Innostage
Доклады, которые были на конференции прикреплены файлами к посту выше:
«Выйди и зайди нормально!» (Ломаем Bitrix)
@i_bo0om
«Атакуем языковые модели»
@wearetyomsmnv
«Что нужно учитывать при первом участии в Bug Bounty?»
@turbobarsuchiha — triage team Standoff365
«Ломаем Ethereum: Пентестинг Смарт-Контрактов»
@gspdnsobaka — triage team Immunefi
@Sn0w7 — lead MTC RED
«DevSecOps»
@gazizovasg — Swordfish
«Как ломать SAML, если у меня лапки?»
@agrrrdog — Acunetix
«Offensive OSINT»
@adkkkkkkkk — Innostage
🔥21👍8❤6❤🔥1🌚1
Выпустили Nuclei v3 — добавили возможность писать код на bash, Python, Javascipt прямо в YAML файлах. А также запускать другие утилиты, например sqlmap.
Поскольку теперь шаблоны могут выполнять код, нужно задаться вопросом безопасности, в статье релиза сказано что шаблоны модерируются и подписываются подписью. Поскольку теперь поддерживаются разные "протоколы" можно вытащить например СNAME для доменов.
Получается Nuclei это теперь оркестратор с поддержкой Javanoscript 🤔
blog.projectdiscovery.io/nuclei-v3-featurefusion/
Поскольку теперь шаблоны могут выполнять код, нужно задаться вопросом безопасности, в статье релиза сказано что шаблоны модерируются и подписываются подписью. Поскольку теперь поддерживаются разные "протоколы" можно вытащить например СNAME для доменов.
Получается Nuclei это теперь оркестратор с поддержкой Javanoscript 🤔
code:
- engine:
- sh
- bash
source: |
echo "$OAST" | base64
- engine:
- py
- python3
source: |
import base64
import os
text = os.getenv('OAST')
text_bytes = text.encode('utf-8')
blog.projectdiscovery.io/nuclei-v3-featurefusion/
ProjectDiscovery
Introducing Nuclei v3 with improved vulnerability scanning features — ProjectDiscovery Blog
ProjectDiscovery has been working hard over the recent months! Recent template releases have been covering important CVEs and other exploitable vulnerabilities, we’ve been speaking at various conferences, and moreover, we’ve been crafting and writing major…
👍19❤🔥6🔥5❤1
Недавно OpenAI представила для подписчиков Plus контекстное окно в 32к токенов! А еще возможность создания кастомных GPT на основе своих данных.
Мне пришла идея создать свою сборку — загрузить чеклисты и методологии файлами в конфигуратор.
Представляю вашему вниманию Кавычка GPT
Теперь модель больше не будет спорить с вами об этичности пэйлоадов.
https://chat.openai.com/g/g-5KWmQ9wKU-kavychka-gpt
Мне пришла идея создать свою сборку — загрузить чеклисты и методологии файлами в конфигуратор.
Представляю вашему вниманию Кавычка GPT
Теперь модель больше не будет спорить с вами об этичности пэйлоадов.
https://chat.openai.com/g/g-5KWmQ9wKU-kavychka-gpt
ChatGPT
ChatGPT - Кавычка GPT
appsec & bugbounty
👍27🔥13❤🔥3
Forwarded from SHADOW:Group
Недавно было раскрыто несколько отчетов (например тут или тут), где исследователь просто отслеживал изменения в файлах JS и таким образом находил уязвимости.
Почитать подробнее об этом вы можете тут, а ниже прикладываю инструмент, который поможет вам отслеживать такие изменения и информировать вас о них в телеграмм.
Thx @cyb3r4z
Ссылка на GitHub
#web #tools #js
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - robre/jsmon: a javanoscript change monitoring tool for bugbounties
a javanoscript change monitoring tool for bugbounties - GitHub - robre/jsmon: a javanoscript change monitoring tool for bugbounties
🔥14👍5❤🔥1
Forwarded from Positive Technologies
Если вы всегда мечтали собрать целый стадион, у нас отличные новости: PHDays Fest в этом году пройдет в «Лужниках» в Москве с 23 по 26 мая.
Спортивный комплекс на четыре дня превратится в киберарену: мы создадим настоящий мегаполис с интерактивными инсталляциями, а сотни спикеров расскажут о кибератаках и способах им противостоять.
🤟 Ждем крутых докладов как от профи, так и от новичков: главное — свежий взгляд на актуальные проблемы ИБ и пути их решения. Узнать все подробности и оставить заявку можно на сайте киберфестиваля.
• Темы докладов принимаются до 15 марта
• Будут два формата: доклад на 50 минут и короткое выступление на 15 минут.
• Подавать заявку необходимо лично
До встречи на втором международном киберфестивале PHDays!
Больше подробностей — soon.
@Positive_Technologies
#PHD2
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤1
Новая статья в блоге PT SWARM про раскрытие исходного кода asp[.]net приложений
https://swarm.ptsecurity.com/source-code-disclosure-in-asp-net-apps/
https://swarm.ptsecurity.com/source-code-disclosure-in-asp-net-apps/
PT SWARM
Source Code Disclosure in ASP.NET apps
Earn $10,000 on bugbounty with this little trick!
🔥11👍3❤🔥2
Forwarded from Поросёнок Пётр
В нашем новом выпуске мы пригласили человека из мира мобильного багхантинга, активного участника форума Antichat, и автора проекта reFlutter. Его история вызывает восхищение и уважение 🦾
https://youtu.be/2KCSxYQ543M
https://youtu.be/2KCSxYQ543M
🔥31👍6🤔1
Поросёнок Пётр
В нашем новом выпуске мы пригласили человека из мира мобильного багхантинга, активного участника форума Antichat, и автора проекта reFlutter. Его история вызывает восхищение и уважение 🦾 https://youtu.be/2KCSxYQ543M
Спасибо @ValyaRoller за приглашение на подкаст! Подписывайтесь на его замечательный канал @pigPeter
Кому интересен кейс с paypal, тут подробнее можно почитать: t.me/postImpact/6
такой же кейс все еще работает с TripAdvisor так что можете счейнить до high с любой xss на поддоменах:
Вообще многие сдают не раскручивая — сдают medium вместо high теряя значительное bounty.
Еще кейс с dyson не попал в видео, там я рассказывал про то что у них одна тестовая репа попала в публичный bitbucket (всего на пару часов), а там был логин/пароль QA. И пароль подходил к его рабочему outlook , внутреннему bitbucket и slack. Как итог - доступ к главному домену dyson.com и сорцам. Так что нужны второй фактор и еще фингерпиринты к браузерам/ip.
про мою первую багу в ICQ, на самом деле 150$ (отчет оказался частично раскрытым) — https://hackerone.com/reports/373909
Кому интересен кейс с paypal, тут подробнее можно почитать: t.me/postImpact/6
такой же кейс все еще работает с TripAdvisor так что можете счейнить до high с любой xss на поддоменах:
Pattern.compile("^(?:https?\\:\\/\\/(?:[A-Za-z0-9_\\-]+\\.(dhcp(\\-[A-Za-z]+)?\\.([A-Za-z0-9_\\-]+\\.corp\\.)?|(nw\\.)?dev(\\-[A-Za-z]+)?\\.|cmc\\.|d\\.)?)?tripadvisor\\.(?:com|(?:[a-z]{2})|(?:(?:co|com)\\.[a-z]{2})))?\\/.*$");Вообще многие сдают не раскручивая — сдают medium вместо high теряя значительное bounty.
Еще кейс с dyson не попал в видео, там я рассказывал про то что у них одна тестовая репа попала в публичный bitbucket (всего на пару часов), а там был логин/пароль QA. И пароль подходил к его рабочему outlook , внутреннему bitbucket и slack. Как итог - доступ к главному домену dyson.com и сорцам. Так что нужны второй фактор и еще фингерпиринты к браузерам/ip.
про мою первую багу в ICQ, на самом деле 150$ (отчет оказался частично раскрытым) — https://hackerone.com/reports/373909
❤🔥11👍9🔥2❤1
Незабываемый отдых на Бали!
🌴 Хочешь полететь на Бали, поплавать в море и окунуться в атмосферу индонезийских тропических островов? У тебя есть шанс!
Скоро конец подачи докладов на SAS 2024!
Security Analyst Summit — это эксклюзивная трехдневная конференция, для ведущих исследователей в области борьбы с вредоносным ПО, групп реагирования на компьютерные инциденты и т.д. На конференции спикеры впервые поделятся эксклюзивными докладами и идеями.
Отправить заявку: thesascon.com/papers
Об отеле: sofitel-bali-nusa-dua-beach-resort.all-balihotels.net
PDF: thesascon.com/files/SAS_2024.pdf
Bali, Indonesia, 22-25 Oct, 2024
🌴 Хочешь полететь на Бали, поплавать в море и окунуться в атмосферу индонезийских тропических островов? У тебя есть шанс!
Скоро конец подачи докладов на SAS 2024!
Security Analyst Summit — это эксклюзивная трехдневная конференция, для ведущих исследователей в области борьбы с вредоносным ПО, групп реагирования на компьютерные инциденты и т.д. На конференции спикеры впервые поделятся эксклюзивными докладами и идеями.
Отправить заявку: thesascon.com/papers
Об отеле: sofitel-bali-nusa-dua-beach-resort.all-balihotels.net
PDF: thesascon.com/files/SAS_2024.pdf
Bali, Indonesia, 22-25 Oct, 2024
🐳11👎7🔥4🥱3🌚3👍1😁1🤔1🤣1