Я пропал на месяц и наверное многим будет интересно что происходило:

На прошедшей конференции PHD2 я сделал доклад, в котором осветил уязвимости в C# и сервисах Microsoft. Многих заинтересовал вопрос, почему я не связался с Microsoft по этому поводу. Отвечаю: я связывался, но, к сожалению, они просто закрыли мои тикеты без объяснения причин.

Уже после доклада на PHD2 я обнаружил новую технику, позволяющую отправлять письма от любого user@domain. И снова мои попытки связаться с Microsoft оказались безуспешными.

Тогда я написал об этом в X(запрещенная на территории Российской Федерации социальная сеть). Пост набрал уже 120 тысяч просмотров и привлёк внимание таких изданий, как Forbes и TechCrunch и многих других. Западные СМИ начали публиковать статьи о том, как Microsoft проигнорировали мои обращения.

После этого Microsoft переоткрыли тикет с последней уязвимостью и начали работу над патчем для уязвимости в C#, которая оставалась нерешённой с апреля.

Вышел замечательный прецедент, как общественное давление, сопровождаемое освещением в СМИ, смогло победить некомпетентность крупного вендора.

P.S. Забыл добавить что тикеты не только переоткрыли, но уже даже назначили мне первые выплаты

Вместе с коллегами в составе Neplox решили попробовать поучаствовать этим летом в 2 Boost от багбаунти площадки immunefi.com

Что-такое Immunefi?
Возможно кто-то не сталкивался, immunefi.com - крупнейшая web3 багбаунти площадка в мире (в простонародье багбаунти криптоскамов)

Что такое Boost?
Кратко - crowdsource audit. Суть в том что программа выходит на определенный срок на платформу с заявленной выплатой (В данном случае 500.000$).
Все багхантеры, которые приняли участия делят общий пул наград. За каждую уязвимость получаешь N очков, при этом количество очков за сданную тобой уязвимость зависит от критичности и количества сдавших эту уязвимостей исследователей (да, полное дубликатное окно на весь ивент, первый нашедший получает бонус очки)
Ну и получаешь деньги в таком же отношении от пула наград, как твои набранные очки ко всем набранным очкам

Каковы результаты?
Мы поучаствовали в 2 идущих параллельно Boost от одной организации. На первый Boost сегодня выложили результаты. С него мы получили 95к$.
Учитывая наличие второго Boost, результаты которого будут позже:

Total Bounty превысило 100k$

Каковы ощущения?
В целом заплатили приемлемо. Результатов пришлось ждать долго, но кажется в этом минимум вины площадки.
В целом ощущения по площадке позитивные, вроде не было явных конфликтов с триажерами, да и проблемы они действительно пытались решать.

P.S. В этот раз хранил молчание 2 месяца, держу планку.

Там ребятки из ВК оказывается создали свой канал, думаю тем кто хантит у них следует подписаться

Новый день, новая CVE.
Гугл запатчили одну из проблем, которую я им отправил в ходе своего крупного исследования
Надеюсь, расскажу об этой проблеме и о многих других (Пока не запатченных проблемах) в конце этого года
Обновляем хромы)

Яндекс устраивает очередной митап
https://events.yandex.ru/events/yasm_2011/index
Расскажу там немного веселого и полезного, приходите на фан встречу🐣

2 месяца подряд ( и 3 на подходе ) с High CVE в хроме
В целом на новый год вас будет ждать очень интересное чтиво)

Так же Майкрософт вчера окончательно митигировала проблему с доклада на PHDays
Тоже дали High CVE
https://learn.microsoft.com/en-us/exchange/plan-and-deploy/post-installation-tasks/security-best-practices/exchange-non-compliant-p2from-detection?view=exchserver-2019

Сегодня coinbase зарезолвил High который был заслан мной и моими друзьями из neplox
Дали конечно мало долларов (по нижней планке High), но репорт очень необычный и с очень нетипичным импактом (все как я люблю)
Попытаемся побороться за disclose

Получил вот такую красоту от гугла
Все таки мерч это мелочь, но приятно

11 декабря буду выступать на VK Security Confab
Приходите послушать.
https://news.1rj.ru/str/vk_security/55

Сегодня вышла новая версия DOMPurify решающая проблему о которой я сообщал разработчикам ранее
Может быть полезно если вы встречали санитизацию noscript, но не знали как это обойти
https://github.com/cure53/DOMPurify/releases/tag/3.2.3
https://blog.slonser.info/posts/dompurify-dirty-namespace-bypass/

https://team.vk.company/confabmax/
Напоминаю что можно меня найти тут на трансляции или лично)

HTML Universal Identifier
На VK Security Confab анонсировал свою тулзу для идентификации Html
Вот собственно и она:
https://github.com/Slonser/hui
Что можно делать сейчас:
- Идентифицировать flattening
- Находить неправильный mutation payloads
- Смотреть на разрешенные атрибуты и теги
- Идентифицировать библиотеку которая работает с html на бекенде
Нужно ещё много доработать но можно пользоваться уже сейчас
P.S. массово прописываем

python -m pip install hui

Позавчера прошел 8-й кубок CTF России, для которого наша команда сделала игру, которую нужно было ломать в прямом эфире.

Мы украли идею вдохновлялись Google Hackceler8, и получилось достаточно круто.

В прошлом году мы сделали это в первый раз, сейчас уже получилось интереснее и красивее, да и участники были более подготовленные.

Если вам интересно почитать исходники простенького платформера на Go и поискать баги самому, то вот вам код.
https://github.com/C4T-BuT-S4D/ctfcup-2024-igra

А под спойлером читы от команды-победителя академического зачета.
https://github.com/dtlhub/ctfcup-2024-igra/

В комменты прикреплю примеры прохождений.

С новым годом господа!
В этом году решил не проводить черту того чего сделал и не сделал за год.
Зато решил сделать подарок сообществу - 1337 USDC
Первый кто получит XSS без UI на https://tasks.neplox.security/new-year-2025/ сможет забрать эти деньги
P.S.
Решение без UI - я перехожу по ссылке и вижу alert от task.neplox.security
При загрузке проищошло пару неприятных случаев, так что таск перезалит

Первым решившим таск стал terjanq из компании Google
Решение было unintended, баунти он не взял
Таск обновлен, у вас есть все шансы.

Bounty забрал laytonctf, с чем его я поздравляю

Одна из частей intended решения довольна малоизвестная техника
С строгим CSP можно перехватывать клики при помощи noscript set

Portswigger выпустили голосование за топ ресерчей 2024 года.
Там номинированы помимо прочего 2 моих статьи
CVE-2023-5480: Chrome new XSS Vector
Old new email attacks
Так же советую обратить внимание на Exploring the DOMPurify library: Bypasses and Fixes от Kévin Mizu
Ну и в целом огромное количество материала, многое могли пропустить, так что читаем и голосуем!

Читать и голосовать тут.

В 2024 году я потратил много времени на изучение безопасности расширений
К сожалению в интернете не было единого ресурса по безопасности расширений Chrome.
Поэтому я его сделал!
На данный момент содержит самые используемые мною техники, некоторые из них кажется не применялись до меня.
Так же ресурс содержит базовое введение в безопасность расширений и их структуру.
Помимо прочего так же буду заливать туда баги связанные с extension в самом Chromium, первый мини врайтап на мою CVE-2024-10229.
Make Chrome Extension Safe Again!
https://extensions.neplox.security/