прошел ровно год, как я начал участвовать в багбаунти и кажется пришло время подвести итоги.
я возвращался с OFFZONE 2023, где все кругом говорили про багбаунти. никакого опыта в веб-пентестах у меня не было (пару лет назад я играл в CTF), но я все таки решил попробовать себя. как итог – сдал первую багу, пока ехал в сапсане. никаких баунти я за это конечно же не получил. я понял, что мне не хватает опыта и практики. найти что-то сложное не получалось, поэтому репортил все подряд и получал informative)) лишь изредка получалось найти что-то прикольное, но самая большая выплата на тот момент была не больше 25к.
шло время, я смотрел доклады, читал открытые репорты от топовых багхантеров и кажется стал что-то понимать. меня начали добавлять в приватки. после этого по немногу пошло. поучаствовал во втором багзоне.
общая сумма выплат ну никак не тянет на годовую зп, но как приятный бонус вполне себе (road to ipoteka в прямом смысле). заоблачные цели загадывать не будем, но попасть в топ-3 какого-нибудь квартала думаю можно себе пожелать )
я возвращался с OFFZONE 2023, где все кругом говорили про багбаунти. никакого опыта в веб-пентестах у меня не было (пару лет назад я играл в CTF), но я все таки решил попробовать себя. как итог – сдал первую багу, пока ехал в сапсане. никаких баунти я за это конечно же не получил. я понял, что мне не хватает опыта и практики. найти что-то сложное не получалось, поэтому репортил все подряд и получал informative)) лишь изредка получалось найти что-то прикольное, но самая большая выплата на тот момент была не больше 25к.
шло время, я смотрел доклады, читал открытые репорты от топовых багхантеров и кажется стал что-то понимать. меня начали добавлять в приватки. после этого по немногу пошло. поучаствовал во втором багзоне.
общая сумма выплат ну никак не тянет на годовую зп, но как приятный бонус вполне себе (road to ipoteka в прямом смысле). заоблачные цели загадывать не будем, но попасть в топ-3 какого-нибудь квартала думаю можно себе пожелать )
🔥10👍3
ещё завершился 4-х недельный пентест проект инфраструктуры (и кубера) очень большой и всем известной компании. в результате мне удалось полностью получить контроль над стейдж окружением и дотянуться до некоторых критичных продовых сервисов.
в следующих постах постараюсь немного приоткрыть вектора, которые я использовал и критичные мисконфиги которые допустили инженеры компании.
в следующих постах постараюсь немного приоткрыть вектора, которые я использовал и критичные мисконфиги которые допустили инженеры компании.
👍6🔥6
доехать до оффзона и заплутать мерча у меня к сожалению не получилось, но вот купер сам доехал до меня 😁
🔥5
разбавлю затишье на канале небольшой новостью. совсем недавно принял участие в подкасте со своими хорошими знакомыми, и вот он в сети:
https://news.1rj.ru/str/safecode_channel/74
https://news.1rj.ru/str/safecode_channel/74
Telegram
SafeCode — конференция по безопасности приложений
#подкаст
Кто и зачем ломает контейнеры? Разбираемся в пентесте K8s — в подкасте [SafeCode Live]
Сломали вебчик, а что дальше? Мы оказываемся в контейнере внутри K8s. Что злоумышленник может сделать дальше и может ли вообще что-либо сделать? Об этом мы…
Кто и зачем ломает контейнеры? Разбираемся в пентесте K8s — в подкасте [SafeCode Live]
Сломали вебчик, а что дальше? Мы оказываемся в контейнере внутри K8s. Что злоумышленник может сделать дальше и может ли вообще что-либо сделать? Об этом мы…
👍5
к сожалению, так вышло, что немного подзабросил канал, надеюсь в 2025 году эта ситуация исправится 🌝
после лета я брал перерыв в багхантинге и вот в декабре решил вернуться. первый раз попробовал поискать в яндексе (искал в сервисе, которым пользуюсь сам)
думаю следующий заход будет в январе-феврале
в июне я нашел багу в опенсурс проекте, но пока патча нет, как и присвоения CVE ) потом думаю расскажу где-нибудь про это
после лета я брал перерыв в багхантинге и вот в декабре решил вернуться. первый раз попробовал поискать в яндексе (искал в сервисе, которым пользуюсь сам)
думаю следующий заход будет в январе-феврале
в июне я нашел багу в опенсурс проекте, но пока патча нет, как и присвоения CVE ) потом думаю расскажу где-нибудь про это
👍6
useful security dump
к сожалению, так вышло, что немного подзабросил канал, надеюсь в 2025 году эта ситуация исправится 🌝 после лета я брал перерыв в багхантинге и вот в декабре решил вернуться. первый раз попробовал поискать в яндексе (искал в сервисе, которым пользуюсь сам)…
+1 есть
протриажили относительно быстро
29 ноября сдал репорт, 6 декабря получил инфу о том что протриажено
протриажили относительно быстро
29 ноября сдал репорт, 6 декабря получил инфу о том что протриажено
❤5
начинаем этот год с истории, которая началась грустно, но закончилась вполне себе ок.
есть сервис, где можно загружать и просматривать различные файлы, в том числе pdf. за рендер pdf отвечает библиотека pdf.js, она была уязвимой версии. PoC публично доступен и можно скрафтить файл, который приведет к xss. я создаю такой файл, кидаю ссылку на него в отчет и мне прилетает информатив 🙁
вендор пишет что это скриптинг в pdf доках и такое они не принимают. очевидно, что человек который триажил отчет даже не удосужился прочитать его до конца, а просто увидел тригерные слова XSS PDF и проставил информатив.
спустя несколько попыток достучаться до вендора в личку и закидать пруфами в отчет, его перевели в медиум.
суть истории такова – если вы знаете что правы, стойте на своем до концаи заберите эти 100 баксов
есть сервис, где можно загружать и просматривать различные файлы, в том числе pdf. за рендер pdf отвечает библиотека pdf.js, она была уязвимой версии. PoC публично доступен и можно скрафтить файл, который приведет к xss. я создаю такой файл, кидаю ссылку на него в отчет и мне прилетает информатив 🙁
вендор пишет что это скриптинг в pdf доках и такое они не принимают. очевидно, что человек который триажил отчет даже не удосужился прочитать его до конца, а просто увидел тригерные слова XSS PDF и проставил информатив.
спустя несколько попыток достучаться до вендора в личку и закидать пруфами в отчет, его перевели в медиум.
суть истории такова – если вы знаете что правы, стойте на своем до конца
👍6
Вышла моя долгожданная статья по мотивам одного прошлогоднего пентеста. её я без при увеличения писал месяц, это был(о) тяжело
внутри вас ждет:
- небольшое погружение для того чтобы понять как видеокарты могут работать с контейнерами
- раскур патча и сорцов на C
- написание боевого сплойта
https://luntry.ru/lomaem-vashi-videokarty-raspakovka-eksplojta-dlya-cve-2024-0132-pod-nvidia-container-toolkit
внутри вас ждет:
- небольшое погружение для того чтобы понять как видеокарты могут работать с контейнерами
- раскур патча и сорцов на C
- написание боевого сплойта
https://luntry.ru/lomaem-vashi-videokarty-raspakovka-eksplojta-dlya-cve-2024-0132-pod-nvidia-container-toolkit
luntry.ru
Ломаем ваши видеокарты: распаковка эксплойта для CVE-2024-0132 под NVIDIA Container Toolkit
В сентябре 2024 года компания WIZ обнаружила критическую уязвимость в системе безопасности, обозначенную как CVE-2024-0132, которая затрагивала все версии NVIDIA Container Toolkit.
🔥9❤1
История, уходящая больше чем на полгода назад, заиграла новыми красками.
Тогда я сдал несколько багов через Bug Bounty платформу в одном российском средстве виртуализации. Хотелось получить CVE (или хотя бы BDU), т.к баги были найдены в вендорском продукте, но любые попытки сделать это не привели к успеху.
И тут я увидел новость – эти ребята прошли сертификацию по ФСТЭКу, а значит у меня появился легальный способ получить BDU, зарепортив баги с багбаунти напрямую во ФСТЭК. Что я и сделал.
Как итог - мой первый(ая?) BDU – BDU:2025-02510 🤟💪
Кстати весь процесс общения с регулятором занял неделю, что на мой взгляд круто. Триаж даже побыстрее некоторых баг баунти програм.
P.S. – Я всё ещё жду назначения CVE в нескольких западных вендорских продуктах 🥲
P.P.S – Я заслал во ФСТЭК ещё три бага в этом же продукте
Тогда я сдал несколько багов через Bug Bounty платформу в одном российском средстве виртуализации. Хотелось получить CVE (или хотя бы BDU), т.к баги были найдены в вендорском продукте, но любые попытки сделать это не привели к успеху.
И тут я увидел новость – эти ребята прошли сертификацию по ФСТЭКу, а значит у меня появился легальный способ получить BDU, зарепортив баги с багбаунти напрямую во ФСТЭК. Что я и сделал.
Как итог - мой первый(ая?) BDU – BDU:2025-02510 🤟💪
Кстати весь процесс общения с регулятором занял неделю, что на мой взгляд круто. Триаж даже побыстрее некоторых баг баунти програм.
P.S. – Я всё ещё жду назначения CVE в нескольких западных вендорских продуктах 🥲
P.P.S – Я заслал во ФСТЭК ещё три бага в этом же продукте
🔥6👍5🤮1🤡1
Продолжаю изучать дивный мир БДУ ФСТЭК.
Вы знали что у них есть собственный рейтинг исследователей? Я – нет.
Кроме того, есть довольно интересный порядок определения рейтинга исследователей, предоставивших сведения об уязвимостях программного обеспечения. Есть несколько критериев, но я отмечу эти два:
1) Показатель, характеризующий объект исследований (Т) – за встроенное программное (микропрограммное) обеспечение можно получить 10 баллов, за ПО для АСУ ТП только 7, а ща прикладное ПО 5.
2) Показатель, характеризующий алгоритм проверки уязвимости и подтверждающие материалы (P) – Разработан PoC или представлен алгоритм действий - 3 балла, видео пруф - 2, прочие (?) - 1 балл
Вы знали что у них есть собственный рейтинг исследователей? Я – нет.
Кроме того, есть довольно интересный порядок определения рейтинга исследователей, предоставивших сведения об уязвимостях программного обеспечения. Есть несколько критериев, но я отмечу эти два:
1) Показатель, характеризующий объект исследований (Т) – за встроенное программное (микропрограммное) обеспечение можно получить 10 баллов, за ПО для АСУ ТП только 7, а ща прикладное ПО 5.
2) Показатель, характеризующий алгоритм проверки уязвимости и подтверждающие материалы (P) – Разработан PoC или представлен алгоритм действий - 3 балла, видео пруф - 2, прочие (?) - 1 балл
👍2❤1🔥1🤮1
В этом году доведётся поучаствовать в 15-ых играх Standoff, да не абы как, а в составе топовой команды.
Команда не побоюсь этого слова реально топовая (легенды ИБ, легенды багхантинга и просто хорошие люди). С 21 по 24 мая будем играть за красных.
Новый опыт для меня. Думаю после игр вернусь с отзывом.
Команда не побоюсь этого слова реально топовая (легенды ИБ, легенды багхантинга и просто хорошие люди). С 21 по 24 мая будем играть за красных.
Новый опыт для меня. Думаю после игр вернусь с отзывом.
👍5🔥3
Закончился STANDOFF 15. Для всех нас это был первый опыт, но считаю, что мы достойно себя показали и как итог все этого – заняли 4-ое место. Наши ближайшие соперники обогнали нас на несколько тысяч баллов, так что мы были близки к тому чтобы влететь в топ-3.
Конечно были приколы от организаторов, без этого никуда: уменьшение игрового времени на один час без предупреждения, стабильные падения инфры в первые дни и запрет на создание закрепление учеток pt* ))
Но масштабность и развесистость инфры приятно удивляет: веб (различный), linux, windows ad, docker, kubernetes, free ipa, ASTRA LINUX, андроид мобилки, scada, армкбр и может что-то ещё..
Надеюсь ещё соберемся на следующий STANDOFF :)
P.S – Жаль что никто из команд не залез в сегмент где было много НС под кубер .
P.P.S – возможно скоро сделаю разбор какого- нибудь недопустимого события под куб
Конечно были приколы от организаторов, без этого никуда: уменьшение игрового времени на один час без предупреждения, стабильные падения инфры в первые дни и запрет на создание закрепление учеток pt* ))
Но масштабность и развесистость инфры приятно удивляет: веб (различный), linux, windows ad, docker, kubernetes, free ipa, ASTRA LINUX, андроид мобилки, scada, армкбр и может что-то ещё..
Надеюсь ещё соберемся на следующий STANDOFF :)
P.S – Жаль что никто из команд не залез в сегмент где было много НС под кубер .
P.P.S – возможно скоро сделаю разбор какого- нибудь недопустимого события под куб
🔥6👏2👍1
В июне позвали в одну приватку, первый отчет там был сдан аж в августе 2023 года, и казалось там нечего ловить.. Но в программе есть несколько таргетов, в некоторые из них надо запрашивать дополнительные доступы и всё такое. Вообщем удалось немного попылесоить их, как следствие позвали на BUGS ZONE 5 – буду пытаться пылесосить там с 4 августа.
Истина проста – не надо лениться проходить за пейволами и доп. доступами: это всегда окупается
Истина проста – не надо лениться проходить за пейволами и доп. доступами: это всегда окупается
🔥3🍌2
Ещё из последних новостей – вошел в шорт-лист Pentest Awards 2025. В прошлом году я тоже там был и занял 5-ое место (правда в другой номинации). Посмотрим, что будет в этом.
https://news.1rj.ru/str/justsecurity/423
https://news.1rj.ru/str/justsecurity/423
🔥5🌭2
Давно не выступал на больших ИБ конфах. Пришло время исправляться. 26 ноября буду выступать с докладом "Истории Kubernetes пентестов: путь через уязвимости" на ZeroNights!
В докладе поделюсь своим пятилетним опытом проведения пентестов Kubernetes кластеров, а также разберу самые интересные случаи компрометации К8s с помощью уязвимостей. Покажу, как небольшие лазейки превращаются в критические угрозы, и обсудим, какие меры помогут защитить кластер от реальных атак.
Будет немного аккуратных дисклоузов с проектов и багбаунти, должно быть интересно 🙂
В докладе поделюсь своим пятилетним опытом проведения пентестов Kubernetes кластеров, а также разберу самые интересные случаи компрометации К8s с помощью уязвимостей. Покажу, как небольшие лазейки превращаются в критические угрозы, и обсудим, какие меры помогут защитить кластер от реальных атак.
Будет немного аккуратных дисклоузов с проектов и багбаунти, должно быть интересно 🙂
🔥10
Прошел очередной BUGS ZONE, для меня в этот раз более чем успешно. Закончил его на
шестом месте (по выплатам на втором).
Залететь в топ-3 было бы слишком круто, но тем не менее, очень повезло со скоупом – баги 1:1 с реальных проектов.
Ну и пробил свой рекорд по криту в 400к, да и в целом вынес с ивента 860к. Упор был только на одного вендора, статистика по уязам такая:
- 1 critical
- 2 high
- 3 medium
- 1 low (сдавал на скорость, чтобы получить бонус за первый валидный отчет, по выплате получилось как medium)
На этом пока в багбаунти даю себе отпуск (до конца года 🙃). На работе остается финальный проект в 2025, так что продолжаем потеть в конце 4-го квартала.
шестом месте (по выплатам на втором).
Залететь в топ-3 было бы слишком круто, но тем не менее, очень повезло со скоупом – баги 1:1 с реальных проектов.
Ну и пробил свой рекорд по криту в 400к, да и в целом вынес с ивента 860к. Упор был только на одного вендора, статистика по уязам такая:
- 1 critical
- 2 high
- 3 medium
- 1 low (сдавал на скорость, чтобы получить бонус за первый валидный отчет, по выплате получилось как medium)
На этом пока в багбаунти даю себе отпуск (до конца года 🙃). На работе остается финальный проект в 2025, так что продолжаем потеть в конце 4-го квартала.
🔥5❤2👏1