привет! за последнее время (с проектов и баг баунти) накопилось довольно много интересных фишечек и приемов, которые хотелось бы запомнить самому и подсветить другим людям. тут будет публиковаться как раз такое.
когда слышишь SQL injection наверняка в первую очередь представляется какой нибудь такой пейлоад: example.com/strore/?page=Gifts'+OR+1=1--
но не стоит забывать, что пихать кавычки можно не только в query параметры. уязвимы к скуле могут быть куки, юзер-агенты, даже bearer токены и SSL сертификаты. вообщем, при любом удобном случае – пихаем кавычку в любой пользовательский инпут, даже не очевидный.
но помимо классических query параметров и нагрузки в теле запроса, также часто сам path выступает в роли параметра, например:
example.com/store/id/3'/view
дальше раскручиваем sqlmap, не нарушаем правила программы и получаем свои баунти. за этот кейс я получил 100к (там не было чувствительных данных), но сам факт, что в 2024 все еще остаются SQL инъекции не может не радовать.
но не стоит забывать, что пихать кавычки можно не только в query параметры. уязвимы к скуле могут быть куки, юзер-агенты, даже bearer токены и SSL сертификаты. вообщем, при любом удобном случае – пихаем кавычку в любой пользовательский инпут, даже не очевидный.
но помимо классических query параметров и нагрузки в теле запроса, также часто сам path выступает в роли параметра, например:
example.com/store/id/3'/view
дальше раскручиваем sqlmap, не нарушаем правила программы и получаем свои баунти. за этот кейс я получил 100к (там не было чувствительных данных), но сам факт, что в 2024 все еще остаются SQL инъекции не может не радовать.
🔥9
в этом году решил окончательно переквалифицироваться в пентестера, попробовать себя в чем то новом, ну и конечно же make money again (куда без этого).
где то месяц назад сдал багу, которая позволяла делать полноценный захват s3 хранилища других пользователей облачного провайдера. к сожалению, таким образом можно было захватить только публичные хранилища, за что вендор влепил мне медиум (считаю не заслуженно).
выплата за эту багу была унизительно маленькая и я решил подать её на https://award.awillix.ru/ в номинацию **CK THE LOGIC (что вместо звездочек думайте сами). посмотрим что из этого выйдет 👀
где то месяц назад сдал багу, которая позволяла делать полноценный захват s3 хранилища других пользователей облачного провайдера. к сожалению, таким образом можно было захватить только публичные хранилища, за что вендор влепил мне медиум (считаю не заслуженно).
выплата за эту багу была унизительно маленькая и я решил подать её на https://award.awillix.ru/ в номинацию **CK THE LOGIC (что вместо звездочек думайте сами). посмотрим что из этого выйдет 👀
award.awillix.ru
Awillix Award 2025
Первая в России ежегодная независимая премия для пентестеров.
❤7
недавно на одной из приватных программ после агрессивного сканирования словил бан по IP и как следствие этого мой ресерч остановился. ограничений на количество запросов по правилам программы не было.
обход блокировки решился тупым, но действенным способом – добавлением заголовка
кстати говоря, используя подобные заголовки, иногда можно также получить доступ к dev/stage версиям приложений, которые как думают разработчики, прикрыты для внешнего мира и доступны только во внутренней сети.
этот кейс я оформил в отдельный репорт, посмотрим, что скажет вендор 🙂
P.S. – я открыл комментарии, буду рад вашим вопросам/идеям/предложениям/критике.
обход блокировки решился тупым, но действенным способом – добавлением заголовка
X-Forwarder-For к запросу авторизации на получение токена.кстати говоря, используя подобные заголовки, иногда можно также получить доступ к dev/stage версиям приложений, которые как думают разработчики, прикрыты для внешнего мира и доступны только во внутренней сети.
этот кейс я оформил в отдельный репорт, посмотрим, что скажет вендор 🙂
P.S. – я открыл комментарии, буду рад вашим вопросам/идеям/предложениям/критике.
👍7
useful security dump
недавно на одной из приватных программ после агрессивного сканирования словил бан по IP и как следствие этого мой ресерч остановился. ограничений на количество запросов по правилам программы не было. обход блокировки решился тупым, но действенным способом…
ну что, мой отчет отклонен как informative 🙃 в целом это было почти ожидаемо, учитывая какие задачи ставит вендор...
😢3
сижу, никого не трогаю и тут прилетает инвайт на закрытое мероприятие BUGS ZONE 2.0. сказать что я удивлен – ничего не сказать. три больших и всем известных компании с новым закрытым скоупом.
естественно я согласился, хоть и понимаю что конкуренция будет довольно высокая, учитывая мой опыт и опыт остальных багхантеров.
для тех, кто не в теме – поясню. есть публичные программы, которые открыты для всех исследователей, есть приватные, куда можно попасть только по приглашению, а есть такие закрытые мероприятия, где исключительно новый, ранее никем не исследовавшийся скоуп. и на таких мероприятиях довольно мало людей (еще меньше чем в приватках), а значит шанс найти там что-то интересное довольно высок
естественно я согласился, хоть и понимаю что конкуренция будет довольно высокая, учитывая мой опыт и опыт остальных багхантеров.
для тех, кто не в теме – поясню. есть публичные программы, которые открыты для всех исследователей, есть приватные, куда можно попасть только по приглашению, а есть такие закрытые мероприятия, где исключительно новый, ранее никем не исследовавшийся скоуп. и на таких мероприятиях довольно мало людей (еще меньше чем в приватках), а значит шанс найти там что-то интересное довольно высок
🔥7👍3
api-fuzzing-lists.zip
8.7 MB
думаю многие пользуются словарям для брута директорий/методов апи/файлов, вроде SecLists или fuzz.txt от Bo0oM.
но часто сталкиваются с тем, что ничего не находят. сегодня хочу поделиться годнотой, обнаруженной на просторах Linkedin для фазинга API:
архив со словарем во вложениях
но часто сталкиваются с тем, что ничего не находят. сегодня хочу поделиться годнотой, обнаруженной на просторах Linkedin для фазинга API:
- 744,000+ endpoints
- 357,000+ object properties
- 211,000+ object names
- 127,000+ query parameters
- 74,000+ parameter values
- 35,000+ path parameters
- 8,300+ headers
- 5,300+ paths
- 880+ common portsархив со словарем во вложениях
👍5🔥1👏1
useful security dump
в этом году решил окончательно переквалифицироваться в пентестера, попробовать себя в чем то новом, ну и конечно же make money again (куда без этого). где то месяц назад сдал багу, которая позволяла делать полноценный захват s3 хранилища других пользователей…
вообщем-то кейс с захватом S3 хранилища прошел в шорт лист и меня пригласили на церемонию награждения. приятно. 🙂
к сожалению, очно поприсутствовать не смогу, сейчас идет проект, да и свободных билетов в летнее время года как обычно нет. буду рад, если кто-то из подписчиков будет там и сможет порадоваться за меня в случае моей победы )
P.S. мероприятие закрытое, так что локацию скрыл
к сожалению, очно поприсутствовать не смогу, сейчас идет проект, да и свободных билетов в летнее время года как обычно нет. буду рад, если кто-то из подписчиков будет там и сможет порадоваться за меня в случае моей победы )
P.S. мероприятие закрытое, так что локацию скрыл
🔥6❤1
timeweb проводил конкурс – первые 10 человек, сдавших валидные репорты после обновления программы (и повышения выплат) получают мерч. собственно я успел влететь в эту десятку и получил мерча от bizone bug bounty и timeweb. спасибо!
можно сказать это мои первые оффлайн призы (кроме денег), которые засылают мне вендоры. хотя первой была все таки карточка от тинька с лимитированным дизайном )
можно сказать это мои первые оффлайн призы (кроме денег), которые засылают мне вендоры. хотя первой была все таки карточка от тинька с лимитированным дизайном )
👍10