сижу, никого не трогаю и тут прилетает инвайт на закрытое мероприятие BUGS ZONE 2.0. сказать что я удивлен – ничего не сказать. три больших и всем известных компании с новым закрытым скоупом.
естественно я согласился, хоть и понимаю что конкуренция будет довольно высокая, учитывая мой опыт и опыт остальных багхантеров.
для тех, кто не в теме – поясню. есть публичные программы, которые открыты для всех исследователей, есть приватные, куда можно попасть только по приглашению, а есть такие закрытые мероприятия, где исключительно новый, ранее никем не исследовавшийся скоуп. и на таких мероприятиях довольно мало людей (еще меньше чем в приватках), а значит шанс найти там что-то интересное довольно высок
естественно я согласился, хоть и понимаю что конкуренция будет довольно высокая, учитывая мой опыт и опыт остальных багхантеров.
для тех, кто не в теме – поясню. есть публичные программы, которые открыты для всех исследователей, есть приватные, куда можно попасть только по приглашению, а есть такие закрытые мероприятия, где исключительно новый, ранее никем не исследовавшийся скоуп. и на таких мероприятиях довольно мало людей (еще меньше чем в приватках), а значит шанс найти там что-то интересное довольно высок
🔥7👍3
api-fuzzing-lists.zip
8.7 MB
думаю многие пользуются словарям для брута директорий/методов апи/файлов, вроде SecLists или fuzz.txt от Bo0oM.
но часто сталкиваются с тем, что ничего не находят. сегодня хочу поделиться годнотой, обнаруженной на просторах Linkedin для фазинга API:
архив со словарем во вложениях
но часто сталкиваются с тем, что ничего не находят. сегодня хочу поделиться годнотой, обнаруженной на просторах Linkedin для фазинга API:
- 744,000+ endpoints
- 357,000+ object properties
- 211,000+ object names
- 127,000+ query parameters
- 74,000+ parameter values
- 35,000+ path parameters
- 8,300+ headers
- 5,300+ paths
- 880+ common portsархив со словарем во вложениях
👍5🔥1👏1
useful security dump
в этом году решил окончательно переквалифицироваться в пентестера, попробовать себя в чем то новом, ну и конечно же make money again (куда без этого). где то месяц назад сдал багу, которая позволяла делать полноценный захват s3 хранилища других пользователей…
вообщем-то кейс с захватом S3 хранилища прошел в шорт лист и меня пригласили на церемонию награждения. приятно. 🙂
к сожалению, очно поприсутствовать не смогу, сейчас идет проект, да и свободных билетов в летнее время года как обычно нет. буду рад, если кто-то из подписчиков будет там и сможет порадоваться за меня в случае моей победы )
P.S. мероприятие закрытое, так что локацию скрыл
к сожалению, очно поприсутствовать не смогу, сейчас идет проект, да и свободных билетов в летнее время года как обычно нет. буду рад, если кто-то из подписчиков будет там и сможет порадоваться за меня в случае моей победы )
P.S. мероприятие закрытое, так что локацию скрыл
🔥6❤1
timeweb проводил конкурс – первые 10 человек, сдавших валидные репорты после обновления программы (и повышения выплат) получают мерч. собственно я успел влететь в эту десятку и получил мерча от bizone bug bounty и timeweb. спасибо!
можно сказать это мои первые оффлайн призы (кроме денег), которые засылают мне вендоры. хотя первой была все таки карточка от тинька с лимитированным дизайном )
можно сказать это мои первые оффлайн призы (кроме денег), которые засылают мне вендоры. хотя первой была все таки карточка от тинька с лимитированным дизайном )
👍10
начался второй багс зон, а это значит, что со сном в ближайшие дни можно уверенно попрощаться 🙈 на текущий момент, хантеры сдали больше 100 отчетов по всем программам (старт начался меньше 24 часов назад).
если честно, я представлял себе это немного по другому. в итоге получается бешенная конкуренция, кто успел того и тапки. да, простых багов много и они на поверхности, но это не факт что ты сдашь их первый )
на текущий момент я сдал 3 репорта за которых дать могут максимум медиум (если они конечно не будут дубликатами). в процессе находил еще парочку, но после находил чужие пейлоады и смысл репортить такое пропадал.
открылся еще не весь скоуп, надеюсь найти что-то стоящее.
если честно, я представлял себе это немного по другому. в итоге получается бешенная конкуренция, кто успел того и тапки. да, простых багов много и они на поверхности, но это не факт что ты сдашь их первый )
на текущий момент я сдал 3 репорта за которых дать могут максимум медиум (если они конечно не будут дубликатами). в процессе находил еще парочку, но после находил чужие пейлоады и смысл репортить такое пропадал.
открылся еще не весь скоуп, надеюсь найти что-то стоящее.
👍7
useful security dump
вообщем-то кейс с захватом S3 хранилища прошел в шорт лист и меня пригласили на церемонию награждения. приятно. 🙂 к сожалению, очно поприсутствовать не смогу, сейчас идет проект, да и свободных билетов в летнее время года как обычно нет. буду рад, если кто…
кто следил за премией могли заметить, что призовое место я не занял. я смотрел трансляцию и кейсы победителей были действительно очень крутые.
вообщем я думал что я где-то далеко в конце списка и набрал не очень много баллов, пока не увидел статью на хабре от организаторов.
я занял 5-ое место и совсем чуть чуть не дотянул до призового. и обидно и приятно одновременно было видеть себя именно там оказавшись выше по позиции в скорборде среди топовых хакеров-участников.
p.s. скоро будет год как я участвую в баг баунти, а еще половина багзона уже прошла. будет немного статистики – выплаты, баги и еще кое что.
вообщем я думал что я где-то далеко в конце списка и набрал не очень много баллов, пока не увидел статью на хабре от организаторов.
я занял 5-ое место и совсем чуть чуть не дотянул до призового. и обидно и приятно одновременно было видеть себя именно там оказавшись выше по позиции в скорборде среди топовых хакеров-участников.
p.s. скоро будет год как я участвую в баг баунти, а еще половина багзона уже прошла. будет немного статистики – выплаты, баги и еще кое что.
❤9👍1
прошел ровно год, как я начал участвовать в багбаунти и кажется пришло время подвести итоги.
я возвращался с OFFZONE 2023, где все кругом говорили про багбаунти. никакого опыта в веб-пентестах у меня не было (пару лет назад я играл в CTF), но я все таки решил попробовать себя. как итог – сдал первую багу, пока ехал в сапсане. никаких баунти я за это конечно же не получил. я понял, что мне не хватает опыта и практики. найти что-то сложное не получалось, поэтому репортил все подряд и получал informative)) лишь изредка получалось найти что-то прикольное, но самая большая выплата на тот момент была не больше 25к.
шло время, я смотрел доклады, читал открытые репорты от топовых багхантеров и кажется стал что-то понимать. меня начали добавлять в приватки. после этого по немногу пошло. поучаствовал во втором багзоне.
общая сумма выплат ну никак не тянет на годовую зп, но как приятный бонус вполне себе (road to ipoteka в прямом смысле). заоблачные цели загадывать не будем, но попасть в топ-3 какого-нибудь квартала думаю можно себе пожелать )
я возвращался с OFFZONE 2023, где все кругом говорили про багбаунти. никакого опыта в веб-пентестах у меня не было (пару лет назад я играл в CTF), но я все таки решил попробовать себя. как итог – сдал первую багу, пока ехал в сапсане. никаких баунти я за это конечно же не получил. я понял, что мне не хватает опыта и практики. найти что-то сложное не получалось, поэтому репортил все подряд и получал informative)) лишь изредка получалось найти что-то прикольное, но самая большая выплата на тот момент была не больше 25к.
шло время, я смотрел доклады, читал открытые репорты от топовых багхантеров и кажется стал что-то понимать. меня начали добавлять в приватки. после этого по немногу пошло. поучаствовал во втором багзоне.
общая сумма выплат ну никак не тянет на годовую зп, но как приятный бонус вполне себе (road to ipoteka в прямом смысле). заоблачные цели загадывать не будем, но попасть в топ-3 какого-нибудь квартала думаю можно себе пожелать )
🔥10👍3
ещё завершился 4-х недельный пентест проект инфраструктуры (и кубера) очень большой и всем известной компании. в результате мне удалось полностью получить контроль над стейдж окружением и дотянуться до некоторых критичных продовых сервисов.
в следующих постах постараюсь немного приоткрыть вектора, которые я использовал и критичные мисконфиги которые допустили инженеры компании.
в следующих постах постараюсь немного приоткрыть вектора, которые я использовал и критичные мисконфиги которые допустили инженеры компании.
👍6🔥6
доехать до оффзона и заплутать мерча у меня к сожалению не получилось, но вот купер сам доехал до меня 😁
🔥5
разбавлю затишье на канале небольшой новостью. совсем недавно принял участие в подкасте со своими хорошими знакомыми, и вот он в сети:
https://news.1rj.ru/str/safecode_channel/74
https://news.1rj.ru/str/safecode_channel/74
Telegram
SafeCode — конференция по безопасности приложений
#подкаст
Кто и зачем ломает контейнеры? Разбираемся в пентесте K8s — в подкасте [SafeCode Live]
Сломали вебчик, а что дальше? Мы оказываемся в контейнере внутри K8s. Что злоумышленник может сделать дальше и может ли вообще что-либо сделать? Об этом мы…
Кто и зачем ломает контейнеры? Разбираемся в пентесте K8s — в подкасте [SafeCode Live]
Сломали вебчик, а что дальше? Мы оказываемся в контейнере внутри K8s. Что злоумышленник может сделать дальше и может ли вообще что-либо сделать? Об этом мы…
👍5
к сожалению, так вышло, что немного подзабросил канал, надеюсь в 2025 году эта ситуация исправится 🌝
после лета я брал перерыв в багхантинге и вот в декабре решил вернуться. первый раз попробовал поискать в яндексе (искал в сервисе, которым пользуюсь сам)
думаю следующий заход будет в январе-феврале
в июне я нашел багу в опенсурс проекте, но пока патча нет, как и присвоения CVE ) потом думаю расскажу где-нибудь про это
после лета я брал перерыв в багхантинге и вот в декабре решил вернуться. первый раз попробовал поискать в яндексе (искал в сервисе, которым пользуюсь сам)
думаю следующий заход будет в январе-феврале
в июне я нашел багу в опенсурс проекте, но пока патча нет, как и присвоения CVE ) потом думаю расскажу где-нибудь про это
👍6
useful security dump
к сожалению, так вышло, что немного подзабросил канал, надеюсь в 2025 году эта ситуация исправится 🌝 после лета я брал перерыв в багхантинге и вот в декабре решил вернуться. первый раз попробовал поискать в яндексе (искал в сервисе, которым пользуюсь сам)…
+1 есть
протриажили относительно быстро
29 ноября сдал репорт, 6 декабря получил инфу о том что протриажено
протриажили относительно быстро
29 ноября сдал репорт, 6 декабря получил инфу о том что протриажено
❤5
начинаем этот год с истории, которая началась грустно, но закончилась вполне себе ок.
есть сервис, где можно загружать и просматривать различные файлы, в том числе pdf. за рендер pdf отвечает библиотека pdf.js, она была уязвимой версии. PoC публично доступен и можно скрафтить файл, который приведет к xss. я создаю такой файл, кидаю ссылку на него в отчет и мне прилетает информатив 🙁
вендор пишет что это скриптинг в pdf доках и такое они не принимают. очевидно, что человек который триажил отчет даже не удосужился прочитать его до конца, а просто увидел тригерные слова XSS PDF и проставил информатив.
спустя несколько попыток достучаться до вендора в личку и закидать пруфами в отчет, его перевели в медиум.
суть истории такова – если вы знаете что правы, стойте на своем до концаи заберите эти 100 баксов
есть сервис, где можно загружать и просматривать различные файлы, в том числе pdf. за рендер pdf отвечает библиотека pdf.js, она была уязвимой версии. PoC публично доступен и можно скрафтить файл, который приведет к xss. я создаю такой файл, кидаю ссылку на него в отчет и мне прилетает информатив 🙁
вендор пишет что это скриптинг в pdf доках и такое они не принимают. очевидно, что человек который триажил отчет даже не удосужился прочитать его до конца, а просто увидел тригерные слова XSS PDF и проставил информатив.
спустя несколько попыток достучаться до вендора в личку и закидать пруфами в отчет, его перевели в медиум.
суть истории такова – если вы знаете что правы, стойте на своем до конца
👍6
Вышла моя долгожданная статья по мотивам одного прошлогоднего пентеста. её я без при увеличения писал месяц, это был(о) тяжело
внутри вас ждет:
- небольшое погружение для того чтобы понять как видеокарты могут работать с контейнерами
- раскур патча и сорцов на C
- написание боевого сплойта
https://luntry.ru/lomaem-vashi-videokarty-raspakovka-eksplojta-dlya-cve-2024-0132-pod-nvidia-container-toolkit
внутри вас ждет:
- небольшое погружение для того чтобы понять как видеокарты могут работать с контейнерами
- раскур патча и сорцов на C
- написание боевого сплойта
https://luntry.ru/lomaem-vashi-videokarty-raspakovka-eksplojta-dlya-cve-2024-0132-pod-nvidia-container-toolkit
luntry.ru
Ломаем ваши видеокарты: распаковка эксплойта для CVE-2024-0132 под NVIDIA Container Toolkit
В сентябре 2024 года компания WIZ обнаружила критическую уязвимость в системе безопасности, обозначенную как CVE-2024-0132, которая затрагивала все версии NVIDIA Container Toolkit.
🔥9❤1
История, уходящая больше чем на полгода назад, заиграла новыми красками.
Тогда я сдал несколько багов через Bug Bounty платформу в одном российском средстве виртуализации. Хотелось получить CVE (или хотя бы BDU), т.к баги были найдены в вендорском продукте, но любые попытки сделать это не привели к успеху.
И тут я увидел новость – эти ребята прошли сертификацию по ФСТЭКу, а значит у меня появился легальный способ получить BDU, зарепортив баги с багбаунти напрямую во ФСТЭК. Что я и сделал.
Как итог - мой первый(ая?) BDU – BDU:2025-02510 🤟💪
Кстати весь процесс общения с регулятором занял неделю, что на мой взгляд круто. Триаж даже побыстрее некоторых баг баунти програм.
P.S. – Я всё ещё жду назначения CVE в нескольких западных вендорских продуктах 🥲
P.P.S – Я заслал во ФСТЭК ещё три бага в этом же продукте
Тогда я сдал несколько багов через Bug Bounty платформу в одном российском средстве виртуализации. Хотелось получить CVE (или хотя бы BDU), т.к баги были найдены в вендорском продукте, но любые попытки сделать это не привели к успеху.
И тут я увидел новость – эти ребята прошли сертификацию по ФСТЭКу, а значит у меня появился легальный способ получить BDU, зарепортив баги с багбаунти напрямую во ФСТЭК. Что я и сделал.
Как итог - мой первый(ая?) BDU – BDU:2025-02510 🤟💪
Кстати весь процесс общения с регулятором занял неделю, что на мой взгляд круто. Триаж даже побыстрее некоторых баг баунти програм.
P.S. – Я всё ещё жду назначения CVE в нескольких западных вендорских продуктах 🥲
P.P.S – Я заслал во ФСТЭК ещё три бага в этом же продукте
🔥6👍5🤮1🤡1
Продолжаю изучать дивный мир БДУ ФСТЭК.
Вы знали что у них есть собственный рейтинг исследователей? Я – нет.
Кроме того, есть довольно интересный порядок определения рейтинга исследователей, предоставивших сведения об уязвимостях программного обеспечения. Есть несколько критериев, но я отмечу эти два:
1) Показатель, характеризующий объект исследований (Т) – за встроенное программное (микропрограммное) обеспечение можно получить 10 баллов, за ПО для АСУ ТП только 7, а ща прикладное ПО 5.
2) Показатель, характеризующий алгоритм проверки уязвимости и подтверждающие материалы (P) – Разработан PoC или представлен алгоритм действий - 3 балла, видео пруф - 2, прочие (?) - 1 балл
Вы знали что у них есть собственный рейтинг исследователей? Я – нет.
Кроме того, есть довольно интересный порядок определения рейтинга исследователей, предоставивших сведения об уязвимостях программного обеспечения. Есть несколько критериев, но я отмечу эти два:
1) Показатель, характеризующий объект исследований (Т) – за встроенное программное (микропрограммное) обеспечение можно получить 10 баллов, за ПО для АСУ ТП только 7, а ща прикладное ПО 5.
2) Показатель, характеризующий алгоритм проверки уязвимости и подтверждающие материалы (P) – Разработан PoC или представлен алгоритм действий - 3 балла, видео пруф - 2, прочие (?) - 1 балл
👍2❤1🔥1🤮1