Импакт отсутствует
Деньги присутствуют
P.S. кто там бб вк хейтил?

Решил завести твиттер

https://twitter.com/slonser_

В нем в феврале выпущу ссылки на свой ресерч браузеров, и то почему все говноеды, а я д'Артаньян

Для тех кто не видел.
Яндекс открыл XSSmas

XSS в ID, Почте, Диске
400 000 руб. — 500 000 руб.
XSS в прочих сервисах, с возможностью получения чувствительных данных
300 000 руб. — 350 000 руб.
Blind XSS, срабатывающие во внутренних «админках»
250 000 руб.
XSS в остальных сервисах, без возможности получения чувствительных данных
100 000 руб. — 150 000 руб.

Отправил 1 репортик для галочки, Яндекс исправил давние ошибки и начал действовать молниеносно ( пруф на скрине )
Даю вам фору до нового года, так как умер в делах)

Все пишут итоги года и я попытаюсь.
Что произошло в моей жизни?
- Отправил на регистрацию 20 CVE
- Поучавствовал в Standoff Hacks x2
- Занял в составе CBS топ 2 мира по ctftime
- Нашел серьезный 0day в хроме ( райтап написан, выложу в феврале )
Я не хочу писать много, просто хочу сказать спасибо всем людям, которые были со мной весь этот год
А подписчикам желаю удачных находок в следующем году!

Год начинается с репорта на 0day в net стеке голанга

Почистил канал и хочу его немного переформатировать
Мне встречается много прикольных уязвимости и приколов - хочу как то регулярнее о них рассказывать.

Если у вас есть прикольные референсы форматов - пришлите в комментарии ( буду благодарен )

Так же 25 числа заканчивается NDA на мой 0day в хроме, я думаю какой формат выбрать для публикации ( сейчас в планах просто грузануть на хабр ), если есть другие идеи реализации материала - предлагайте

Ну и для закрепа:
Кто я вообще такой?
- Slonser
- игрок команды  С4T BuT S4D,
- сотрудник SolidLab
- co-founder neplox.security
- Гений, багбаунтер, пентестер и филантроп

Правила канала:
Правил нет, но если вы мне не понравитесь, я вас забаню.

Ну и канал теперь открытый: https://news.1rj.ru/str/slonser_notes

#quick #XSS
Многие забывают, что парсинг html на бекенде - довольно сложный процесс. Поэтому на уровне даже стандартных парсеров популярных языков программирования - он не реализован полностью
Рассмотрим код на python:

from html.parser import HTMLParser

class MyHTMLParser(HTMLParser):
    def handle_starttag(self, tag, attrs):
        print(f"{tag}")
        for attr in attrs:
            print(f"  ->{attr[0]}: {attr[1]}")

    def handle_endtag(self, tag):
        pass

    def handle_startendtag(self, tag, attrs):
        print(f"{tag}")
        for attr in attrs:
            print(f"  ->{attr[0]}: {attr[1]}")

    def handle_data(self, data):
        pass

html_string = input()

parser = MyHTMLParser()
parser.feed(html_string)

Этот код выводит теги и их атрибуты.
При этом стандартная библиотека питона не учитывает, что для тегов

"iframe", "noembed", "noframes", "nonoscript", "plaintext", "noscript", "textarea", "xmp"

Содержимое не обрабатывается как html теги
Соответственно при вводе:

<textarea><a href="x></textarea><img src=x onerror=alert()//">

Результат парсинга будет выглядеть следующим образом:

textarea
a
  ->href: x></textarea><img src=x onerror=alert()//

В то время как в браузере это будет выглядеть следующим образом:

            <textarea>&lt;a href="x&gt;</textarea><img src="x" onerror="alert()//&quot;">

И соответсвенно выведется alert()
Вещь баянистая, но многие про это забывают при той же эксплуатации Server Side XSS

Попробую такой формат заметок

Golang net/mail address spoofing
Позволяет подменить адрес отправителя/получателя в электронном письме
https://twitter.com/slonser_/status/1746036614508204260
P.S. Эксплуатация происходит при парсинге хедера From, который приходит со стандартного smtp
Условно smtp сервера gmail позволят вам отправить сообщение с хедером

 (<evil@gmail.com>,) <valid@gmail.com>

Что при обработке на бекенде go целевого приложения приводит к ошибкам

История одной уязвимости в Chrome

Очень простая уязвимость, которую я нашел в Google Chrome. И за которую получил 16000$.
Попытался дать побольше контекста, чтобы увеличить пользу от прочтения материала.
Habr
Twitter
P.S. Лучшей благодарностью, если вам понравился материал - является его распространение.

Яндекс завел канал посвященный своему Bugbounty. Очень приятно, что люди реально использовали мою технику из доклада на Standoff Talks (кто-то даже в лс со мной советовался, всегда рад помочь)

В связи с этим хочу поднять вопрос о следующем запланированном докладе - Positive Hack Days 2
Один из вариантов - рассказать про анализ безопасности веб браузеров и всего что рядом с ними
( Есть ещё один вариант, но его пока оставлю в тайне )


Что бы конкретно вам хотелось обязательно услышать в контексте такого доклада?

Уже в эти выходные моя команда проводит GoldCTF 2024.
Будет очень сложный Attack/Defence, приглашаю всех поучаствовать.
https://ctftime.org/event/2249

Недавно нашел обход фильтрации тегов в golang.
Для строки <a/href/='https://google.com/#><img src=x onerror=alert()>slon</img></h1>'>google</a>, golang net/html увидит следующий DOM:

  html
    head
    body
      a
        ->href: https://google.com/#><img src=x onerror=alert()>slon</img></h1>

То есть он будет думать что у нас есть только ссылка на google.com
В тоже время в браузере вы увидите, что у нас загрузился тег <img> и всплыл popup alert
Баг существует в предпоследней версии golang и был исправлен в последнем релизе.
P.S. Если что исправлено 5 дней назад https://github.com/golang/net/commit/643fd162e36ae58085b92ff4c0fec0bafe5a46a7

CVE-2024-21501
Недавно нашел прикольную уязвимость в пакете sanitize-html
В чем суть, в библиотеке часто вендора разрешают использовать атрибут style
Если она используется на бекенде - возможно энумерейтить файлы системы
Для существующих и не существующих файлов - получим разные выводы ( в первом случае, тэг style будет отсутствовать)
Удобно для энумерации зависимостей node проекта.
PoC по ссылке

Недавно нашел bypass всем известной библиотеки DOMPurify в одном интересном случае
Сегодня вышли версии с исправлениями
Прочитать разбор можно тут

Сейчас проснулся и увидел ужасные новости, пребываю в состоянии полного шока
Выражаю соболезнования всем пострадавшим, надеюсь вы и ваши близкие в безопасности
У меня был билет в Москву сегодня ночью, но я решил от него отказаться - чего советую и вам
Советую отказаться от посещения хоть каких-то людных мест.
Будьте бдительны, надеюсь с вами и вашими близкими все будет хорошо.

Написал мини статью про популярную библиотеку node-mysql2
- RCE (в узком случае)
- Cache manipulation (в узком случае)
- Prototype Pollution (в узком случае)
- PP2RCE chain (в общем случае )
https://blog.slonser.info/posts/mysql2-attacker-configuration/

Подал окончательно заявку PHD2.
Молимся, есть очень интересный (при этом простой) ресерч который хочется рассказать.
Ждем ответа...

Написал маленькую заметку про IPv6 Zone, существование которого многие игнорируют/не знают что это.
Очень специфичная штука, но возможно кому-то поможет найти тот самый баг.
https://blog.slonser.info/posts/ipv6-zones/