История одной уязвимости в Chrome

Очень простая уязвимость, которую я нашел в Google Chrome. И за которую получил 16000$.
Попытался дать побольше контекста, чтобы увеличить пользу от прочтения материала.
Habr
Twitter
P.S. Лучшей благодарностью, если вам понравился материал - является его распространение.

Яндекс завел канал посвященный своему Bugbounty. Очень приятно, что люди реально использовали мою технику из доклада на Standoff Talks (кто-то даже в лс со мной советовался, всегда рад помочь)

В связи с этим хочу поднять вопрос о следующем запланированном докладе - Positive Hack Days 2
Один из вариантов - рассказать про анализ безопасности веб браузеров и всего что рядом с ними
( Есть ещё один вариант, но его пока оставлю в тайне )


Что бы конкретно вам хотелось обязательно услышать в контексте такого доклада?

Уже в эти выходные моя команда проводит GoldCTF 2024.
Будет очень сложный Attack/Defence, приглашаю всех поучаствовать.
https://ctftime.org/event/2249

Недавно нашел обход фильтрации тегов в golang.
Для строки <a/href/='https://google.com/#><img src=x onerror=alert()>slon</img></h1>'>google</a>, golang net/html увидит следующий DOM:

  html
    head
    body
      a
        ->href: https://google.com/#><img src=x onerror=alert()>slon</img></h1>

То есть он будет думать что у нас есть только ссылка на google.com
В тоже время в браузере вы увидите, что у нас загрузился тег <img> и всплыл popup alert
Баг существует в предпоследней версии golang и был исправлен в последнем релизе.
P.S. Если что исправлено 5 дней назад https://github.com/golang/net/commit/643fd162e36ae58085b92ff4c0fec0bafe5a46a7

CVE-2024-21501
Недавно нашел прикольную уязвимость в пакете sanitize-html
В чем суть, в библиотеке часто вендора разрешают использовать атрибут style
Если она используется на бекенде - возможно энумерейтить файлы системы
Для существующих и не существующих файлов - получим разные выводы ( в первом случае, тэг style будет отсутствовать)
Удобно для энумерации зависимостей node проекта.
PoC по ссылке

Недавно нашел bypass всем известной библиотеки DOMPurify в одном интересном случае
Сегодня вышли версии с исправлениями
Прочитать разбор можно тут

Сейчас проснулся и увидел ужасные новости, пребываю в состоянии полного шока
Выражаю соболезнования всем пострадавшим, надеюсь вы и ваши близкие в безопасности
У меня был билет в Москву сегодня ночью, но я решил от него отказаться - чего советую и вам
Советую отказаться от посещения хоть каких-то людных мест.
Будьте бдительны, надеюсь с вами и вашими близкими все будет хорошо.

Написал мини статью про популярную библиотеку node-mysql2
- RCE (в узком случае)
- Cache manipulation (в узком случае)
- Prototype Pollution (в узком случае)
- PP2RCE chain (в общем случае )
https://blog.slonser.info/posts/mysql2-attacker-configuration/

Подал окончательно заявку PHD2.
Молимся, есть очень интересный (при этом простой) ресерч который хочется рассказать.
Ждем ответа...

Написал маленькую заметку про IPv6 Zone, существование которого многие игнорируют/не знают что это.
Очень специфичная штука, но возможно кому-то поможет найти тот самый баг.
https://blog.slonser.info/posts/ipv6-zones/

Спустя месяц затишья готов анонсировать выступление на PHD2!

Вам письмо: старые новые атаки на почту

23 мая, 15:00 - 16:00
Киберфестиваль Positive Hack Days 2
Территория спортивного комплекса «Лужники»
Буду рад если вы придете
Буду выступать вместе https://news.1rj.ru/str/hahacking, надеюсь будет очень интересно

Жду всех через 20 минут -_-

https://blog.slonser.info/posts/email-attacks/
Читаем, преисполняемся
Что-то мб написано криво - пишите отвечу/поменяю текст

Я пропал на месяц и наверное многим будет интересно что происходило:

На прошедшей конференции PHD2 я сделал доклад, в котором осветил уязвимости в C# и сервисах Microsoft. Многих заинтересовал вопрос, почему я не связался с Microsoft по этому поводу. Отвечаю: я связывался, но, к сожалению, они просто закрыли мои тикеты без объяснения причин.

Уже после доклада на PHD2 я обнаружил новую технику, позволяющую отправлять письма от любого user@domain. И снова мои попытки связаться с Microsoft оказались безуспешными.

Тогда я написал об этом в X(запрещенная на территории Российской Федерации социальная сеть). Пост набрал уже 120 тысяч просмотров и привлёк внимание таких изданий, как Forbes и TechCrunch и многих других. Западные СМИ начали публиковать статьи о том, как Microsoft проигнорировали мои обращения.

После этого Microsoft переоткрыли тикет с последней уязвимостью и начали работу над патчем для уязвимости в C#, которая оставалась нерешённой с апреля.

Вышел замечательный прецедент, как общественное давление, сопровождаемое освещением в СМИ, смогло победить некомпетентность крупного вендора.

P.S. Забыл добавить что тикеты не только переоткрыли, но уже даже назначили мне первые выплаты

Вместе с коллегами в составе Neplox решили попробовать поучаствовать этим летом в 2 Boost от багбаунти площадки immunefi.com

Что-такое Immunefi?
Возможно кто-то не сталкивался, immunefi.com - крупнейшая web3 багбаунти площадка в мире (в простонародье багбаунти криптоскамов)

Что такое Boost?
Кратко - crowdsource audit. Суть в том что программа выходит на определенный срок на платформу с заявленной выплатой (В данном случае 500.000$).
Все багхантеры, которые приняли участия делят общий пул наград. За каждую уязвимость получаешь N очков, при этом количество очков за сданную тобой уязвимость зависит от критичности и количества сдавших эту уязвимостей исследователей (да, полное дубликатное окно на весь ивент, первый нашедший получает бонус очки)
Ну и получаешь деньги в таком же отношении от пула наград, как твои набранные очки ко всем набранным очкам

Каковы результаты?
Мы поучаствовали в 2 идущих параллельно Boost от одной организации. На первый Boost сегодня выложили результаты. С него мы получили 95к$.
Учитывая наличие второго Boost, результаты которого будут позже:

Total Bounty превысило 100k$

Каковы ощущения?
В целом заплатили приемлемо. Результатов пришлось ждать долго, но кажется в этом минимум вины площадки.
В целом ощущения по площадке позитивные, вроде не было явных конфликтов с триажерами, да и проблемы они действительно пытались решать.

P.S. В этот раз хранил молчание 2 месяца, держу планку.

Там ребятки из ВК оказывается создали свой канал, думаю тем кто хантит у них следует подписаться

Новый день, новая CVE.
Гугл запатчили одну из проблем, которую я им отправил в ходе своего крупного исследования
Надеюсь, расскажу об этой проблеме и о многих других (Пока не запатченных проблемах) в конце этого года
Обновляем хромы)

Яндекс устраивает очередной митап
https://events.yandex.ru/events/yasm_2011/index
Расскажу там немного веселого и полезного, приходите на фан встречу🐣