ну что, мой отчет отклонен как informative 🙃 в целом это было почти ожидаемо, учитывая какие задачи ставит вендор...

сижу, никого не трогаю и тут прилетает инвайт на закрытое мероприятие BUGS ZONE 2.0. сказать что я удивлен – ничего не сказать. три больших и всем известных компании с новым закрытым скоупом.

естественно я согласился, хоть и понимаю что конкуренция будет довольно высокая, учитывая мой опыт и опыт остальных багхантеров.

для тех, кто не в теме – поясню. есть публичные программы, которые открыты для всех исследователей, есть приватные, куда можно попасть только по приглашению, а есть такие закрытые мероприятия, где исключительно новый, ранее никем не исследовавшийся скоуп. и на таких мероприятиях довольно мало людей (еще меньше чем в приватках), а значит шанс найти там что-то интересное довольно высок

думаю многие пользуются словарям для брута директорий/методов апи/файлов, вроде SecLists или fuzz.txt от Bo0oM.

но часто сталкиваются с тем, что ничего не находят. сегодня хочу поделиться годнотой, обнаруженной на просторах Linkedin для фазинга API:

- 744,000+ endpoints
- 357,000+ object properties
- 211,000+ object names
- 127,000+ query parameters
- 74,000+ parameter values
- 35,000+ path parameters
- 8,300+ headers
- 5,300+ paths
- 880+ common ports

архив со словарем во вложениях

вообщем-то кейс с захватом S3 хранилища прошел в шорт лист и меня пригласили на церемонию награждения. приятно. 🙂

к сожалению, очно поприсутствовать не смогу, сейчас идет проект, да и свободных билетов в летнее время года как обычно нет. буду рад, если кто-то из подписчиков будет там и сможет порадоваться за меня в случае моей победы )

P.S. мероприятие закрытое, так что локацию скрыл

начался второй багс зон, а это значит, что со сном в ближайшие дни можно уверенно попрощаться 🙈 на текущий момент, хантеры сдали больше 100 отчетов по всем программам (старт начался меньше 24 часов назад).

если честно, я представлял себе это немного по другому. в итоге получается бешенная конкуренция, кто успел того и тапки. да, простых багов много и они на поверхности, но это не факт что ты сдашь их первый )

на текущий момент я сдал 3 репорта за которых дать могут максимум медиум (если они конечно не будут дубликатами). в процессе находил еще парочку, но после находил чужие пейлоады и смысл репортить такое пропадал.

открылся еще не весь скоуп, надеюсь найти что-то стоящее.

кто следил за премией могли заметить, что призовое место я не занял. я смотрел трансляцию и кейсы победителей были действительно очень крутые.

вообщем я думал что я где-то далеко в конце списка и набрал не очень много баллов, пока не увидел статью на хабре от организаторов.

я занял 5-ое место и совсем чуть чуть не дотянул до призового. и обидно и приятно одновременно было видеть себя именно там оказавшись выше по позиции в скорборде среди топовых хакеров-участников.

p.s. скоро будет год как я участвую в баг баунти, а еще половина багзона уже прошла. будет немного статистики – выплаты, баги и еще кое что.

официально дно пробито 🤝

прошел ровно год, как я начал участвовать в багбаунти и кажется пришло время подвести итоги.

я возвращался с OFFZONE 2023, где все кругом говорили про багбаунти. никакого опыта в веб-пентестах у меня не было (пару лет назад я играл в CTF), но я все таки решил попробовать себя. как итог – сдал первую багу, пока ехал в сапсане. никаких баунти я за это конечно же не получил. я понял, что мне не хватает опыта и практики. найти что-то сложное не получалось, поэтому репортил все подряд и получал informative)) лишь изредка получалось найти что-то прикольное, но самая большая выплата на тот момент была не больше 25к.

шло время, я смотрел доклады, читал открытые репорты от топовых багхантеров и кажется стал что-то понимать. меня начали добавлять в приватки. после этого по немногу пошло. поучаствовал во втором багзоне.

общая сумма выплат ну никак не тянет на годовую зп, но как приятный бонус вполне себе (road to ipoteka в прямом смысле). заоблачные цели загадывать не будем, но попасть в топ-3 какого-нибудь квартала думаю можно себе пожелать )

всего 17 принятых репортов, критичность к сожалению раскрывать нельзя, но по суммам выплат можно догадаться какой там порядок

ещё завершился 4-х недельный пентест проект инфраструктуры (и кубера) очень большой и всем известной компании. в результате мне удалось полностью получить контроль над стейдж окружением и дотянуться до некоторых критичных продовых сервисов.

в следующих постах постараюсь немного приоткрыть вектора, которые я использовал и критичные мисконфиги которые допустили инженеры компании.

разбавлю затишье на канале небольшой новостью. совсем недавно принял участие в подкасте со своими хорошими знакомыми, и вот он в сети:

https://news.1rj.ru/str/safecode_channel/74

+1 есть

протриажили относительно быстро

29 ноября сдал репорт, 6 декабря получил инфу о том что протриажено

начинаем этот год с истории, которая началась грустно, но закончилась вполне себе ок.

есть сервис, где можно загружать и просматривать различные файлы, в том числе pdf. за рендер pdf отвечает библиотека pdf.js, она была уязвимой версии. PoC публично доступен и можно скрафтить файл, который приведет к xss. я создаю такой файл, кидаю ссылку на него в отчет и мне прилетает информатив 🙁

вендор пишет что это скриптинг в pdf доках и такое они не принимают. очевидно, что человек который триажил отчет даже не удосужился прочитать его до конца, а просто увидел тригерные слова XSS PDF и проставил информатив.

спустя несколько попыток достучаться до вендора в личку и закидать пруфами в отчет, его перевели в медиум.

суть истории такова – если вы знаете что правы, стойте на своем до конца и заберите эти 100 баксов

Вышла моя долгожданная статья по мотивам одного прошлогоднего пентеста. её я без при увеличения писал месяц, это был(о) тяжело

внутри вас ждет:

- небольшое погружение для того чтобы понять как видеокарты могут работать с контейнерами
- раскур патча и сорцов на C
- написание боевого сплойта

https://luntry.ru/lomaem-vashi-videokarty-raspakovka-eksplojta-dlya-cve-2024-0132-pod-nvidia-container-toolkit

История, уходящая больше чем на полгода назад, заиграла новыми красками.

Тогда я сдал несколько багов через Bug Bounty платформу в одном российском средстве виртуализации. Хотелось получить CVE (или хотя бы BDU), т.к баги были найдены в вендорском продукте, но любые попытки сделать это не привели к успеху.

И тут я увидел новость – эти ребята прошли сертификацию по ФСТЭКу, а значит у меня появился легальный способ получить BDU, зарепортив баги с багбаунти напрямую во ФСТЭК. Что я и сделал.

Как итог - мой первый(ая?) BDU – BDU:2025-02510 🤟💪

Кстати весь процесс общения с регулятором занял неделю, что на мой взгляд круто. Триаж даже побыстрее некоторых баг баунти програм.

P.S. – Я всё ещё жду назначения CVE в нескольких западных вендорских продуктах 🥲

P.P.S – Я заслал во ФСТЭК ещё три бага в этом же продукте