CVE-2024-21501
Недавно нашел прикольную уязвимость в пакете sanitize-html
В чем суть, в библиотеке часто вендора разрешают использовать атрибут style
Если она используется на бекенде - возможно энумерейтить файлы системы
Для существующих и не существующих файлов - получим разные выводы ( в первом случае, тэг style будет отсутствовать)
Удобно для энумерации зависимостей node проекта.
PoC по ссылке

Недавно нашел bypass всем известной библиотеки DOMPurify в одном интересном случае
Сегодня вышли версии с исправлениями
Прочитать разбор можно тут

Сейчас проснулся и увидел ужасные новости, пребываю в состоянии полного шока
Выражаю соболезнования всем пострадавшим, надеюсь вы и ваши близкие в безопасности
У меня был билет в Москву сегодня ночью, но я решил от него отказаться - чего советую и вам
Советую отказаться от посещения хоть каких-то людных мест.
Будьте бдительны, надеюсь с вами и вашими близкими все будет хорошо.

Написал мини статью про популярную библиотеку node-mysql2
- RCE (в узком случае)
- Cache manipulation (в узком случае)
- Prototype Pollution (в узком случае)
- PP2RCE chain (в общем случае )
https://blog.slonser.info/posts/mysql2-attacker-configuration/

Подал окончательно заявку PHD2.
Молимся, есть очень интересный (при этом простой) ресерч который хочется рассказать.
Ждем ответа...

Написал маленькую заметку про IPv6 Zone, существование которого многие игнорируют/не знают что это.
Очень специфичная штука, но возможно кому-то поможет найти тот самый баг.
https://blog.slonser.info/posts/ipv6-zones/

Спустя месяц затишья готов анонсировать выступление на PHD2!

Вам письмо: старые новые атаки на почту

23 мая, 15:00 - 16:00
Киберфестиваль Positive Hack Days 2
Территория спортивного комплекса «Лужники»
Буду рад если вы придете
Буду выступать вместе https://news.1rj.ru/str/hahacking, надеюсь будет очень интересно

Жду всех через 20 минут -_-

https://blog.slonser.info/posts/email-attacks/
Читаем, преисполняемся
Что-то мб написано криво - пишите отвечу/поменяю текст

Я пропал на месяц и наверное многим будет интересно что происходило:

На прошедшей конференции PHD2 я сделал доклад, в котором осветил уязвимости в C# и сервисах Microsoft. Многих заинтересовал вопрос, почему я не связался с Microsoft по этому поводу. Отвечаю: я связывался, но, к сожалению, они просто закрыли мои тикеты без объяснения причин.

Уже после доклада на PHD2 я обнаружил новую технику, позволяющую отправлять письма от любого user@domain. И снова мои попытки связаться с Microsoft оказались безуспешными.

Тогда я написал об этом в X(запрещенная на территории Российской Федерации социальная сеть). Пост набрал уже 120 тысяч просмотров и привлёк внимание таких изданий, как Forbes и TechCrunch и многих других. Западные СМИ начали публиковать статьи о том, как Microsoft проигнорировали мои обращения.

После этого Microsoft переоткрыли тикет с последней уязвимостью и начали работу над патчем для уязвимости в C#, которая оставалась нерешённой с апреля.

Вышел замечательный прецедент, как общественное давление, сопровождаемое освещением в СМИ, смогло победить некомпетентность крупного вендора.

P.S. Забыл добавить что тикеты не только переоткрыли, но уже даже назначили мне первые выплаты

Вместе с коллегами в составе Neplox решили попробовать поучаствовать этим летом в 2 Boost от багбаунти площадки immunefi.com

Что-такое Immunefi?
Возможно кто-то не сталкивался, immunefi.com - крупнейшая web3 багбаунти площадка в мире (в простонародье багбаунти криптоскамов)

Что такое Boost?
Кратко - crowdsource audit. Суть в том что программа выходит на определенный срок на платформу с заявленной выплатой (В данном случае 500.000$).
Все багхантеры, которые приняли участия делят общий пул наград. За каждую уязвимость получаешь N очков, при этом количество очков за сданную тобой уязвимость зависит от критичности и количества сдавших эту уязвимостей исследователей (да, полное дубликатное окно на весь ивент, первый нашедший получает бонус очки)
Ну и получаешь деньги в таком же отношении от пула наград, как твои набранные очки ко всем набранным очкам

Каковы результаты?
Мы поучаствовали в 2 идущих параллельно Boost от одной организации. На первый Boost сегодня выложили результаты. С него мы получили 95к$.
Учитывая наличие второго Boost, результаты которого будут позже:

Total Bounty превысило 100k$

Каковы ощущения?
В целом заплатили приемлемо. Результатов пришлось ждать долго, но кажется в этом минимум вины площадки.
В целом ощущения по площадке позитивные, вроде не было явных конфликтов с триажерами, да и проблемы они действительно пытались решать.

P.S. В этот раз хранил молчание 2 месяца, держу планку.

Там ребятки из ВК оказывается создали свой канал, думаю тем кто хантит у них следует подписаться

Новый день, новая CVE.
Гугл запатчили одну из проблем, которую я им отправил в ходе своего крупного исследования
Надеюсь, расскажу об этой проблеме и о многих других (Пока не запатченных проблемах) в конце этого года
Обновляем хромы)

Яндекс устраивает очередной митап
https://events.yandex.ru/events/yasm_2011/index
Расскажу там немного веселого и полезного, приходите на фан встречу🐣

2 месяца подряд ( и 3 на подходе ) с High CVE в хроме
В целом на новый год вас будет ждать очень интересное чтиво)

Так же Майкрософт вчера окончательно митигировала проблему с доклада на PHDays
Тоже дали High CVE
https://learn.microsoft.com/en-us/exchange/plan-and-deploy/post-installation-tasks/security-best-practices/exchange-non-compliant-p2from-detection?view=exchserver-2019

Сегодня coinbase зарезолвил High который был заслан мной и моими друзьями из neplox
Дали конечно мало долларов (по нижней планке High), но репорт очень необычный и с очень нетипичным импактом (все как я люблю)
Попытаемся побороться за disclose

Получил вот такую красоту от гугла
Все таки мерч это мелочь, но приятно

11 декабря буду выступать на VK Security Confab
Приходите послушать.
https://news.1rj.ru/str/vk_security/55

Сегодня вышла новая версия DOMPurify решающая проблему о которой я сообщал разработчикам ранее
Может быть полезно если вы встречали санитизацию noscript, но не знали как это обойти
https://github.com/cure53/DOMPurify/releases/tag/3.2.3
https://blog.slonser.info/posts/dompurify-dirty-namespace-bypass/