Упрощаем обработку приложений APK / XAPK / APKM / DEX / JAR / WAR с помощью BFScan ⚡️

Когда разбираешь мобильное приложение, главная боль — собрать карту API. Proxy ловит не всё, OpenAPI нет, код обфусцирован, запросы раскиданы по 20 классам.

📦 BFScan решает эту проблему. Это статический анализатор, который вытаскивает HTTP-запросы, эндпоинты, параметры и даже черновую OpenAPI-спеку прямо из APK / XAPK / APKM / DEX / JAR / WAR.

🎯 Что вытаскивает

⚫️ URL, пути, токены, API-ключи и другие подозрительные строки
⚫️ Сырые HTTP-запросы
⚫️ OpenAPI-спецификацию (по аннотациям и конфигам)
⚫️ Захардкоженные секреты

🔍 Что анализирует

Клиентские библиотеки:

⚫️ Retrofit
⚫️ Ktorfit
⚫️ Feign

Серверные фреймворки и аннотации:

⚫️ Spring Web
⚫️ JAX-RS / Jakarta REST
⚫️ Jakarta Servlets
⚫️ Micronaut
⚫️ Struts 1/2
⚫️ Ktor routing
⚫️ Play Framework
⚫️ Swagger / OpenAPI-аннотации
⚫️ web.xml / jetty.xml

🧵 Что удобно для реверса

⚫️ Автоматически декомпилирует даже обфусцированный код через jadx
⚫️ Сшивает роуты, методы, параметры и тела запросов
⚫️ Даёт готовую базу для тестирования API, даже если приложение — чёрный ящик

🧪 Зачем багхантеру

⚫️ Быстрое перечисление скрытых методов API
⚫️ Поиск забытых эндпоинтов, внутренних роутов, legacy-методов
⚫️ Детект захардкоженных секретов → токены бэкенда, тестовые креды, Firebase-ключи
⚫️ Расширение поверхности атаки для мобилок и веба
⚫️ Отличная база для SSRF, IDOR, авторизационных багов, parameter pollution

Выполняем JS-код внутри <noscript><noscript> 💨

Внутри тега <noscript><noscript> браузер обрабатывает содержимое не как HTML, а как JavaScript-код. При этом действует важное правило парсера:

Внутри <noscript> только текстовые узлы становятся JavaScript-кодом.
Комментарии или вложенные SVG/HTML-элементы удаляются парсером.

Это приводит к интересному эффекту. Если написать что-то вроде:

<noscript><noscript>al<//looks like js comment>ert(document.domain)</noscript>
или
<noscript><noscript>al</h1>ert(document.domain)</noscript>

то последовательность внутри не считается JS-комментарием, и не считается HTML-элементом, а попадает под категорию «некорректный HTML-тег» 💲

HTML-парсер пытается «исправить» такую конструкцию — он удаляет невалидный HTML,
оставляя от исходного текста только:

al + ert(document.domain) → alert(document.domain)

Если в ходе рекона ты нашел файл package.json, возможно, некоторые внутренние пакеты уязвимы для атаки, связанной с dependency confusion ⤵️

В быстрой проверке поможет NPM Dependency Confusion Validator — новый инструмент от JSMon 🔥

Необычное поведение href: как ограниченный DOM Clobbering превратить в полноценный Client-Side Path Traversal 🌫

Если в href указать невалидный протокол вроде ftp:: или https::, браузер перестаёт интерпретировать атрибут как URL. Это полностью ломает ожидаемую логику проверки протоколов и открывает дополнительные векторы атак 🚨

🟡 В обычном случае приложение и фильтры (например, DOMPurify) блокируют все протоколы, кроме http и https.

🟡 Но при использовании формы https:: строка уже не считается URL, и проверки протокола не срабатывают.

🟡 Это делает возможным обращение к эндпоинтам или выполнение действий, которые при нормальном парсинге URL были бы невозможны.

Идём дальше: почти любые символы после : приводят к аналогичному результату — браузер прекращает парсинг как URL и оставляет значение как обычный текст 🏃

Как слияние HTML-атрибутов превращается в рабочий XSS-вектор ⚡️

У страницы может быть только один <html> и один <body>. Если определить большее количество, их атрибуты будут объединены с атрибутами первого элемента 🎨

Поскольку некоторые санитайзеры могут не учитывать механизм объединения атрибутов, можно использовать эту фичу для разделения XSS-вектора по нескольким тегам:

<body style=animation:x id='First Body Tag'>
<body onanimationend=alert(this.id)>
<style>@keyframes x{

После парсинга браузер сформирует единый <body>, в результате чего:

1⃣ style=animation:x активирует фиктивную CSS-анимацию.

2⃣ Когда анимация завершается, событие onanimationend вызывает JavaScript.

3⃣ Санитайзер может пропустить такой пэйлоад, так как опасные атрибуты находятся в разных местах и выглядят безвредно по отдельности.

➡️ При написании поста вдохновились этим исследованием

Распространенные векторы атак race condition в веб-приложениях 🤔

Race condition редко находятся автоматическими сканерами. Это уязвимости не про пэйлоад, а про тайминг, состояние и бизнес-логику.

Проще, когда есть доступ к исходникам. Но на практике багхантер почти всегда работает вслепую — через поведение приложения.

Ниже — два рабочих вектора, которые чаще всего выстреливают 💸

HTTP/1.1 last-byte синхронизация

Атака эксплуатирует то, как сервер обрабатывает частично отправленные запросы.

Сценарий:

✅ Открыть первый запрос и удерживать соединение (не отправлять весь контент сразу).

✅ Отправить второй запрос в момент, когда первый ещё обрабатывается.

✅ Добиться перекрытия операций проверки и изменения состояния.

Так ломаются проверки лимитов, купоны, списания и другие бизнес-процессы.

HTTP/2 single-packet атаки

HTTP/2 ускоряет запросы, но даёт атакующему контроль над таймингом.

Сценарий:

✅ Отправлять несколько запросов по одному соединению, удерживая часть данных.

✅ После паузы завершить все запросы одновременно одним TCP-пакетом.

✅ Минимизировать сетевой джиттер и повысить стабильность гонки.

Метод особенно эффективен против логики, не рассчитанной на параллельность.

Что можно сломать

Последствия race condition чаще всего логические:

➖ двойное списание средств;
➖ повторное применение купонов и бонусов;
➖ обход ограничений и лимитов;
➖ неконсистентное состояние данных,
➖ DoS и ошибки контроля доступа,

По импакту такие баги часто уходят в high или critical.

P. S. Для эксплуатации используй Burp Suite Turbo Intruder, а практику оттачивай на Web Security Academy 😓

Почему в ходе разведке нельзя игнорировать редиректы ❓

Мы привыкли к подходу:

Есть домен в скоупе — смотрим его. Нет в скоупе — идем дальше.

Что, если подойти к процессу поиска багов в стиле red team?

💡 Предположим, во время разведки тебе под руку попался странный ресурс:

⚫️ В имени нет названия компании
⚫️ Но он делает 302-редирект на домен компании
⚫️ Домен не резолвится

Формально он не входит в скоуп, но фактически может являться частью инфраструктуры.

Как помогает urlscan.io

urlscan.io позволяет смотреть на цель как на систему, а не как на один URL. Он показывает:

⚫️ Все редиректы и переходы
⚫️ Домены и IP, с которыми общается страница
⚫️ Загружаемые JS, CSS и сторонние ресурсы
⚫️ Сookies, DOM, JS-переменные
⚫️ Облачные ресурсы, которые не видно через DNS

Таким образом, даже если домен не резолвится, редирект или связанный ресурс всё равно может существовать.

Почему это расширяет скоуп 🥳

Когда ты анализируешь редиректы:

✔️ В скоуп попадают активы без прямой связи по имени
✔️ Находятся облачные ресурсы, забытые хосты, dev-стенды
✔️ Появляется возможность связать тот самый непонятный ресурс с целевой организацией

Иногда самое интересное — между запросами, а не в ответе 💲

В HTTP-запросах почти всегда есть мусор:
автогенерированные заголовки, дубликаты, лишний контекст. Удалять их по одному и каждый раз проверять ответ — слишком долго 💤

Header Guardian (Burp Suite) или Squash (Caido) автоматически очистят запросы от ненужных заголовков, оставляя только то, что реально влияет на поведение сервера.

🏃‍♂️ При активации Squash запускает фоновую задачу, которая:

⚫️ Отправляет исходный запрос

⚫️ Итеративно удаляет параметры запроса, поля формы, JSON и заголовки (включая отдельные файлы cookie)

⚫️ Сравнивает ответы, чтобы выявить инвариантное поведение

⚫️ Сохраняет только те поля, которые необходимы для сохранения исходного ответа

⚫️ Отправляет минимизированный запрос в новую вкладку Replay для просмотра и тестирования