Новый день, новая CVE.
Гугл запатчили одну из проблем, которую я им отправил в ходе своего крупного исследования
Надеюсь, расскажу об этой проблеме и о многих других (Пока не запатченных проблемах) в конце этого года
Обновляем хромы)

Яндекс устраивает очередной митап
https://events.yandex.ru/events/yasm_2011/index
Расскажу там немного веселого и полезного, приходите на фан встречу🐣

2 месяца подряд ( и 3 на подходе ) с High CVE в хроме
В целом на новый год вас будет ждать очень интересное чтиво)

Так же Майкрософт вчера окончательно митигировала проблему с доклада на PHDays
Тоже дали High CVE
https://learn.microsoft.com/en-us/exchange/plan-and-deploy/post-installation-tasks/security-best-practices/exchange-non-compliant-p2from-detection?view=exchserver-2019

Сегодня coinbase зарезолвил High который был заслан мной и моими друзьями из neplox
Дали конечно мало долларов (по нижней планке High), но репорт очень необычный и с очень нетипичным импактом (все как я люблю)
Попытаемся побороться за disclose

Получил вот такую красоту от гугла
Все таки мерч это мелочь, но приятно

11 декабря буду выступать на VK Security Confab
Приходите послушать.
https://news.1rj.ru/str/vk_security/55

Сегодня вышла новая версия DOMPurify решающая проблему о которой я сообщал разработчикам ранее
Может быть полезно если вы встречали санитизацию noscript, но не знали как это обойти
https://github.com/cure53/DOMPurify/releases/tag/3.2.3
https://blog.slonser.info/posts/dompurify-dirty-namespace-bypass/

https://team.vk.company/confabmax/
Напоминаю что можно меня найти тут на трансляции или лично)

HTML Universal Identifier
На VK Security Confab анонсировал свою тулзу для идентификации Html
Вот собственно и она:
https://github.com/Slonser/hui
Что можно делать сейчас:
- Идентифицировать flattening
- Находить неправильный mutation payloads
- Смотреть на разрешенные атрибуты и теги
- Идентифицировать библиотеку которая работает с html на бекенде
Нужно ещё много доработать но можно пользоваться уже сейчас
P.S. массово прописываем

python -m pip install hui

Позавчера прошел 8-й кубок CTF России, для которого наша команда сделала игру, которую нужно было ломать в прямом эфире.

Мы украли идею вдохновлялись Google Hackceler8, и получилось достаточно круто.

В прошлом году мы сделали это в первый раз, сейчас уже получилось интереснее и красивее, да и участники были более подготовленные.

Если вам интересно почитать исходники простенького платформера на Go и поискать баги самому, то вот вам код.
https://github.com/C4T-BuT-S4D/ctfcup-2024-igra

А под спойлером читы от команды-победителя академического зачета.
https://github.com/dtlhub/ctfcup-2024-igra/

В комменты прикреплю примеры прохождений.

С новым годом господа!
В этом году решил не проводить черту того чего сделал и не сделал за год.
Зато решил сделать подарок сообществу - 1337 USDC
Первый кто получит XSS без UI на https://tasks.neplox.security/new-year-2025/ сможет забрать эти деньги
P.S.
Решение без UI - я перехожу по ссылке и вижу alert от task.neplox.security
При загрузке проищошло пару неприятных случаев, так что таск перезалит

Первым решившим таск стал terjanq из компании Google
Решение было unintended, баунти он не взял
Таск обновлен, у вас есть все шансы.

Bounty забрал laytonctf, с чем его я поздравляю

Одна из частей intended решения довольна малоизвестная техника
С строгим CSP можно перехватывать клики при помощи noscript set

Portswigger выпустили голосование за топ ресерчей 2024 года.
Там номинированы помимо прочего 2 моих статьи
CVE-2023-5480: Chrome new XSS Vector
Old new email attacks
Так же советую обратить внимание на Exploring the DOMPurify library: Bypasses and Fixes от Kévin Mizu
Ну и в целом огромное количество материала, многое могли пропустить, так что читаем и голосуем!

Читать и голосовать тут.

В 2024 году я потратил много времени на изучение безопасности расширений
К сожалению в интернете не было единого ресурса по безопасности расширений Chrome.
Поэтому я его сделал!
На данный момент содержит самые используемые мною техники, некоторые из них кажется не применялись до меня.
Так же ресурс содержит базовое введение в безопасность расширений и их структуру.
Помимо прочего так же буду заливать туда баги связанные с extension в самом Chromium, первый мини врайтап на мою CVE-2024-10229.
Make Chrome Extension Safe Again!
https://extensions.neplox.security/

Проиграл, но остальные доклады тоже интересные!
https://portswigger.net/research/top-10-web-hacking-techniques-of-2024

Microsoft немного подбодрили и пригласили в США, к сожалению из-за плотного графика не успею заскочить
Но очень приятно

Небольшой witeup на мой 0day в casdoor
https://blog.slonser.info/posts/why-protocol-matters/