привет! за последнее время (с проектов и баг баунти) накопилось довольно много интересных фишечек и приемов, которые хотелось бы запомнить самому и подсветить другим людям. тут будет публиковаться как раз такое.

когда слышишь SQL injection наверняка в первую очередь представляется какой нибудь такой пейлоад: example.com/strore/?page=Gifts'+OR+1=1--

но не стоит забывать, что пихать кавычки можно не только в query параметры. уязвимы к скуле могут быть куки, юзер-агенты, даже bearer токены и SSL сертификаты. вообщем, при любом удобном случае – пихаем кавычку в любой пользовательский инпут, даже не очевидный.

но помимо классических query параметров и нагрузки в теле запроса, также часто сам path выступает в роли параметра, например:

example.com/store/id/3'/view

дальше раскручиваем sqlmap, не нарушаем правила программы и получаем свои баунти. за этот кейс я получил 100к (там не было чувствительных данных), но сам факт, что в 2024 все еще остаются SQL инъекции не может не радовать.

в этом году решил окончательно переквалифицироваться в пентестера, попробовать себя в чем то новом, ну и конечно же make money again (куда без этого).

где то месяц назад сдал багу, которая позволяла делать полноценный захват s3 хранилища других пользователей облачного провайдера. к сожалению, таким образом можно было захватить только публичные хранилища, за что вендор влепил мне медиум (считаю не заслуженно).

выплата за эту багу была унизительно маленькая и я решил подать её на https://award.awillix.ru/ в номинацию **CK THE LOGIC (что вместо звездочек думайте сами). посмотрим что из этого выйдет 👀

недавно на одной из приватных программ после агрессивного сканирования словил бан по IP и как следствие этого мой ресерч остановился. ограничений на количество запросов по правилам программы не было.

обход блокировки решился тупым, но действенным способом – добавлением заголовка X-Forwarder-For к запросу авторизации на получение токена.

кстати говоря, используя подобные заголовки, иногда можно также получить доступ к dev/stage версиям приложений, которые как думают разработчики, прикрыты для внешнего мира и доступны только во внутренней сети.

этот кейс я оформил в отдельный репорт, посмотрим, что скажет вендор 🙂

P.S. – я открыл комментарии, буду рад вашим вопросам/идеям/предложениям/критике.

ну что, мой отчет отклонен как informative 🙃 в целом это было почти ожидаемо, учитывая какие задачи ставит вендор...

сижу, никого не трогаю и тут прилетает инвайт на закрытое мероприятие BUGS ZONE 2.0. сказать что я удивлен – ничего не сказать. три больших и всем известных компании с новым закрытым скоупом.

естественно я согласился, хоть и понимаю что конкуренция будет довольно высокая, учитывая мой опыт и опыт остальных багхантеров.

для тех, кто не в теме – поясню. есть публичные программы, которые открыты для всех исследователей, есть приватные, куда можно попасть только по приглашению, а есть такие закрытые мероприятия, где исключительно новый, ранее никем не исследовавшийся скоуп. и на таких мероприятиях довольно мало людей (еще меньше чем в приватках), а значит шанс найти там что-то интересное довольно высок

думаю многие пользуются словарям для брута директорий/методов апи/файлов, вроде SecLists или fuzz.txt от Bo0oM.

но часто сталкиваются с тем, что ничего не находят. сегодня хочу поделиться годнотой, обнаруженной на просторах Linkedin для фазинга API:

- 744,000+ endpoints
- 357,000+ object properties
- 211,000+ object names
- 127,000+ query parameters
- 74,000+ parameter values
- 35,000+ path parameters
- 8,300+ headers
- 5,300+ paths
- 880+ common ports

архив со словарем во вложениях

вообщем-то кейс с захватом S3 хранилища прошел в шорт лист и меня пригласили на церемонию награждения. приятно. 🙂

к сожалению, очно поприсутствовать не смогу, сейчас идет проект, да и свободных билетов в летнее время года как обычно нет. буду рад, если кто-то из подписчиков будет там и сможет порадоваться за меня в случае моей победы )

P.S. мероприятие закрытое, так что локацию скрыл

начался второй багс зон, а это значит, что со сном в ближайшие дни можно уверенно попрощаться 🙈 на текущий момент, хантеры сдали больше 100 отчетов по всем программам (старт начался меньше 24 часов назад).

если честно, я представлял себе это немного по другому. в итоге получается бешенная конкуренция, кто успел того и тапки. да, простых багов много и они на поверхности, но это не факт что ты сдашь их первый )

на текущий момент я сдал 3 репорта за которых дать могут максимум медиум (если они конечно не будут дубликатами). в процессе находил еще парочку, но после находил чужие пейлоады и смысл репортить такое пропадал.

открылся еще не весь скоуп, надеюсь найти что-то стоящее.

кто следил за премией могли заметить, что призовое место я не занял. я смотрел трансляцию и кейсы победителей были действительно очень крутые.

вообщем я думал что я где-то далеко в конце списка и набрал не очень много баллов, пока не увидел статью на хабре от организаторов.

я занял 5-ое место и совсем чуть чуть не дотянул до призового. и обидно и приятно одновременно было видеть себя именно там оказавшись выше по позиции в скорборде среди топовых хакеров-участников.

p.s. скоро будет год как я участвую в баг баунти, а еще половина багзона уже прошла. будет немного статистики – выплаты, баги и еще кое что.

официально дно пробито 🤝

прошел ровно год, как я начал участвовать в багбаунти и кажется пришло время подвести итоги.

я возвращался с OFFZONE 2023, где все кругом говорили про багбаунти. никакого опыта в веб-пентестах у меня не было (пару лет назад я играл в CTF), но я все таки решил попробовать себя. как итог – сдал первую багу, пока ехал в сапсане. никаких баунти я за это конечно же не получил. я понял, что мне не хватает опыта и практики. найти что-то сложное не получалось, поэтому репортил все подряд и получал informative)) лишь изредка получалось найти что-то прикольное, но самая большая выплата на тот момент была не больше 25к.

шло время, я смотрел доклады, читал открытые репорты от топовых багхантеров и кажется стал что-то понимать. меня начали добавлять в приватки. после этого по немногу пошло. поучаствовал во втором багзоне.

общая сумма выплат ну никак не тянет на годовую зп, но как приятный бонус вполне себе (road to ipoteka в прямом смысле). заоблачные цели загадывать не будем, но попасть в топ-3 какого-нибудь квартала думаю можно себе пожелать )

всего 17 принятых репортов, критичность к сожалению раскрывать нельзя, но по суммам выплат можно догадаться какой там порядок

ещё завершился 4-х недельный пентест проект инфраструктуры (и кубера) очень большой и всем известной компании. в результате мне удалось полностью получить контроль над стейдж окружением и дотянуться до некоторых критичных продовых сервисов.

в следующих постах постараюсь немного приоткрыть вектора, которые я использовал и критичные мисконфиги которые допустили инженеры компании.

разбавлю затишье на канале небольшой новостью. совсем недавно принял участие в подкасте со своими хорошими знакомыми, и вот он в сети:

https://news.1rj.ru/str/safecode_channel/74