Har-bir BugHunting va Pentestingni o'rganishni boshlagan odam bu savolga duch kelishi mumkin !

Endpoints nima?

End points — bu web saytlarning ma'lum bir xizmatlariga shu web sayt foydalanuvchilari kirishlari mumkin bo'lgan veb-manzil ya'ni URL. Ushbu URL manziliga murojaat qilib, foydalanuvchilar ushbu xizmat tomonidan taqdim etilgan ma'lum bir funksionalliklarga kirishlari mumkin. Qisqa qilib aytganda Endpoints-bu HTML fayllari yoki faol server sahifalari ko'rsatiladigan ulanish nuqtasi(URL). End points veb-xizmatning so'nggi nuqtasiga murojaat qilish uchun zarur bo'lgan ma'lumotlarni taqdim etadi.

Example: Aytaylik mening web sahifadan foydalanishim mumkin bo'lgan funksionallik joylashuvi(URL) quyidagicha: https://localhost/web/mywebservice?user=test
Bu misolda /mywebservice - end point, ?user=test esa end pointning parametri hisoblanadi.

HTTP message - bu server va mijoz o'rtasida ma'lumot almashish usuli. Xabarlarning ikki turi mavjud: mijoz tomonidan serverda harakatni boshlash uchun yuborilgan so'rovlar (request) va javoblar(response) ya'ni - serverning javobi.

Bug Bountyda biznig birinchi qilishimiz kerak bo'lgan asosiy ishlardan biri - saytdagi kirish va chiqish nuqtalarini
(URLlarni) topib sayt xaritasini tuzib olishdir.

Saytni tekshirishdan oldin bizga quyidagi parametrlarni aniqlash kerak bo'ladi:
User interface (UI) forms and fields
HTTP headers and cookies
APIs
Files
Databases
Other local storage
Email or other kinds of messages
Runtime arguments
…Your points of entry/exit


End pointlarni aniqlashda ularning soni minglab yoki undan ko'p ham bo'lishi mumkin. Buni boshqarish uchun targetni funksiyasi, dizayni va texnologiyasiga (programming languages) qarab har xil turlarga ajratish kerak.
Example:
Login/authentication entry points
Admin interfaces
Inquiries and search functions
Data entry (CRUD) forms
Business workflows
Transactional interfaces/APIs
Operational command and monitoring interfaces/APIs
Interfaces with other applications/systems
…Your types

Bularni aniqlashda sizga eng optimal yechim bu BurpSuite dasturidan foydalanishdir.

Request va Response ni ko'rish uchun vositachi yoki proksi sifatida foydalanishimiz mumkin bo'lgan boshqa vositalar ham mavjud:
HTTPie - https://httpie.io/
Fiddler - https://www.telerik.com/fiddler
Paw - https://paw.cloud/
OWASP ZAP - https://www.zaproxy.org/
RESTer - https://github.com/frigus02/RESTer

#BugHunting #EndPoints

End Pointlarni izlash haqida qisqacha ma'lumot:

Buglarni izlaydigan har bir kishi maqsadga erishish nuqtai nazaridan o'ziga xos fikrlash jarayoniga ega bo'ladi va bu har kimni turli xil zaifliklarni topishga majbur qiladi, ammo birinchi qadam end pointlar va parametrlarni topishdir. End pointlarni topish uchun biz ko'plab usullardan foydalanamiz, ularning ba'zilarini aytib o'taman:
Birinchi qadam qo'lda skanerlashdir. Butun veb-ilovani skanerlang. Veb-saytlarning barcha menyulari va funktsiyalarini tekshiring va URL manzilining so'nggi nuqtasiga e'tibor bering.

Buning eng yaxshi usuli - BurpSuite dasturi orqali bajarishdir.
BurpSuitedan tashqari bu vazifani bajarish uchun scriptlar mavjud:
Katana - https://github.com/projectdiscovery/katana

Masalan sayt JavaScriptdan foydalangan holda tuzilgan deylik. JS faylini topgandan keyin, foydali ma'lumotlarni olish uchun JS faylini qo'lda tahlil qilish kerak bu esa juda katta jarayonni va ko'p vaqtni olishi mumkin. Shuning uchun biz avtomatlashtirilgan scriptlardan foydalanishimiz mumkin.

hakrawler - https://github.com/hakluke/hakrawler
gf - https://github.com/tomnomnom/gf
JSFinder - https://github.com/Threezh1/JSFinder
JScanner - https://reconshell.com/jscanner-javascript-scanner-for-recon-and-vulnerabilities/
linkfinder - https://github.com/GerbenJavado/LinkFinder
JSA - https://github.com/w9w/JSA

Oxirgi, ammo bir xil darajada muhim qadam bruteforce.
Bruteforce hujumlari ko'pincha autentifikatsiyaga hujum qilish va veb-ilovada yashirin tarkib/sahifalarni aniqlash uchun ishlatiladi. Ushbu hujumlar odatda GET va POST so'rovlari orqali serverga yuboriladi.
Buni ko'plab scriptlar orqali bajarish mumkin ammo eng yaxshi va foydalilarini aytib o'taman:

Dirb - https://github.com/v0re/dirb
Feroxbuster - https://github.com/epi052/feroxbuster
Wfuzz - https://github.com/xmendez/wfuzz
Gobuster - https://github.com/OJ/gobuster
Ffuf - https://github.com/ffuf/ffuf
Dirsearch - https://github.com/maurosoria/dirsearch
Dirbuster - https://github.com/KajanM/DirBuster

Yashirin end pointlarni topishning ko'plab usullari mavjud, ularni topishning asosiy usuli yuqorida aytib o'tilgan. End pointlarni qidirish tarmoq pentestidagi portlarni qidirishga o'xshaydi. Bu veb-ilovalarni sinab ko'rishda qila oladigan birinchi narsa, shundan so'ng biz har bir end pointni va uning parametrini zaiflik yoki yo'qligini tekshirishimiz mumkin. Zaifliklarni ishlatish uchun qo'lda yondashuv eng yaxshi usuldir.

#BugHunting #EndPoints

WAF nima?

WAF (Web Application Firewall) - bu zararli veb-trafikni filtrlash va blokirovka qilish uchun yechim hisoblanadi. WAF yordamida XSS, SQL injection, CSRF kabi zaifliklarni oldini olish mumkin. WAF orqali resurslarni asosiy server ma'lumotlarini(IP yoki resurslarning identifikatorlari) yashirish mumkin.
Ammo filtrlarni bypass (chetlab o'tish) qilishning ko'plab usullari mavjud. Ammo WAFlar ko'plab xavfsizlik usullaridan foydalanganligi sababli aniq bir 1 ta yechim mavjud emas.

TOP WAFlarning ishlab chiquvchilari:
CloudFlare
AWS
Citrix
Akamai
Radware
Microsoft
Azure
Barracuda

Firewallni brazuringizdagi DevTools funksiyasidagi "Network" bo'limi orqali ham aniqlash mumkin masalan:
1) Server sarlavhasidagi WAF nomi (masalan, server: CloudFlare)
2) WAF bilan bog'liq qo'shimcha HTTP javob sarlavhalari (masalan, CF-ray: xxxxxxxxxx)
3) WAF tomonidan o'rnatiladigan cookie-fayllar (masalan, response headerset-cookie: __cfduid = xxxx)
4) Zararli request yuborilganda noodatiy response kelishi. (masalan, 412)

WAFlarni aniqlashni ba'zi scriptlar orqali ham avtomatlashtirish mumkin:
1) NMAP: nmap --script=hhtp-waf-fingerprint, http-waf-detect -p 443 example.com(Target HOST)
2) WafW00f - https://github.com/EnableSecurity/wafw00f
3) WhatWaf - https://github.com/Ekultek/WhatWaf
4) Bypass-firewall - https://github.com/vincentcox/bypass-firewalls-by-DNS-history

Undan tashqari BugHuntelar va Pentesterlar asosan targetga payload(zararli kod) kiritishda ham obfuscation(payload kodini WAF tushunmaydigan ko'rinishga keltirish) yoki encodlash orqlai filtrlarni bypass qilishadi.
Bunga oddiy misol: "><script>alert('1')</script> --> %22%3E%3Cscript%3Ealert%28%271%27%29%3C%2Fscript%3E

All about hidden parameters(yashirin parametrlar nima?) !

Ilova(web sayt) tomonidan qabul qilingan va foydalanuvchiga ushbu yashirin parametrlar orqali ilova funksiyalarini boshqarishga imkon beradigan havolasiz yoki shunchaki yashirin parametrlarni aniqlash jarayoni ko'pincha parametrlarni aniqlash deb nomlanadi.

#Bug #Hunting #Pentesting #Hidden #Parameters

Nima uchun Bug Hunterlar yashirin parametrlarni izlashadi ?
Bug Hunter zaifliklarni topish uchun veb-ilovalar qanday ishlashini tushunish muhimdir. Bu nafaqat ilovada ishlatiladigan ko'rinadigan parametrlarni, balki yashirin parametrlarni ham tushunishni anglatadi. Yashirin parametrlar ko'pincha ishlab chiquvchilar tomonidan parollar va sessiya identifikatorlari kabi nozik ma'lumotlarni saqlash uchun ishlatiladi. Ushbu yashirin parametrlarni qanday topish va ulardan foydalanishni tushunib, siz maxfiy ma'lumotlarga kirish yoki ilova ustidan nazoratni qo'lga kiritish uchun ilatilishi mumkin bo'lgan jiddiy zaifliklarni topishingiz mumkin. Yashirin vparametrlarni topishning bir usuli- ilova URL manzilidagi anomaliyalarni qidirishdir. Masalan, qaysi saxifada bo'lishingizdan qat'iy nazar, har doim URL-da mavjud bo'lgan qandaydir parametr mavjud bo'lsa, ular yashirin parametr bo'lishi etimoli katta. Xulosa qilib aytganda, ilovalar xavfsizligini ta'minlash uchun ushbu zaifliklarni qanday topish va ulardan qanday foydalanishni tushunish juda ham muhimdir.

Yashirin parametrlar nima va ulardan qanday foydalanish mumkin?
Bug Bounty dasturlarining aksariyati umumiy parametrlarga qaratilgan, ammo ko'pincha ishlatilishi mumkin bo'lgan yashirin parametrlar bo'ladi. Yashirin parametrlar odatda hujjatlashtirilmaydi yoki foydalanuvchilarga kirish uchun mo'ljallanmagan bo'ladi, lekin ularni ko'pincha fikrlash yoki taxmin qilish orqali aniqlash mumkin. Aniqlangandan so'ng, ushbu yashirin parametrlar funktsiyalariga qarab turli xil usullarda ishlatilishi mumkin. Masalan, yashirin parametr cheklangan ma'lumotlar yoki funktsiyalarga kirishni ta'minlashi mumkin. Bundan tashqari, filtrlarni bypass qilish yoki tizimga hujum qilish uchun ham foydalanish mumkin. Ba'zi hollarda, yashirin parametrlar hatto Bug Hunterga huquqlarni oshirish(privilege escalation)ga ega bo'lish imkonini berishi mumkin. Yashirin parametrlarni topish uchun Bug Hunterlar odatda qo'lda tekshiradilar yoki avtomatlashtirilgan vositalar kombinatsiyasidan foydalanadilar. Yashirin parametrlarni skanerlash uchun avtomatlashtirilgan vositalardan ham foydalanish mumkin, ammo false positive(mavjud ammo ishlamaydi) parametrlar ham keng tarqalgan.

Yuqorida aytib o'tilganidek, yashirin parametrlar Bug Hunterlarga dasturning funksionalliklarini boshqarishga imkon beradi va Cross-Site Scripting, Open Redirection, SQL injection, Local File Inclusion(LFI), Command Injection, Server-Side Request Forgery, Server-Side Template Injection kabi zaifliklarni target(web sayt)ga ishga tushirishga olib kelishi mumkin.

Masalan web-saytda quyidagicha end point bor deylik: https://example.com/user/dashboard.jsp?isUser=1
Bu end point asosan foydalanuvchilarga o'zlarining boshqaruv paneliga oddiy foydalanuvchi sifatida kirishga imkon beradi. Agar Admin yoki shunga o'xshash boshqa variantlar mavjud bo'lsachi, masalan: https://example.com/user/dashboard.jsp?isAdmin=1
Bu foydalanuvchiga administrator huquqlarini olishga imkon berishi mumkin. Shuning uchun hidden(yashirin) paramterlarni topish juda ham muhim.


Parametrlani aniqlashga yordam beradigan scriptlardan eng yaxshi va natija beradiganlarini keltirib o'taman:
1) Arjun - https://github.com/s0md3v/Arjun --> arjun -u https://demo.target.com, arjun -u https://target.com/test -m POST
2) ParamSpider - https://github.com/devanshbatham/ParamSpider --> python3 paramspider.py -d <target_domain> –level high
3) ParamMiner - https://github.com/PortSwigger/param-miner
4) Burp Suite
5) ZAP
6) Fuzzing
6) Source kodlarni ko'rish orqali ham parametrlarni topishingiz mumkin.

#Bug #Hunting #Pentesting #Hidden #Parameters

🧰 Шпаргалка по Nmap: на заметку этичному хакеру

🖼 Источник

#forensic #tools

Команды SQLMap

#sqlmap #sqlmanual #manual

#Fuzz #BugBounty

@Hide01 📰
@RedBlueHit 💀👀
@RedBlueTM 🔒

👩‍💻 JavaScript Analysis for Pentesters.

• Вероятно, что это самое объемное руководство по анализу JavaScript-файлов для пентестеров на сегодняшний день:

• Static Analysis:
- Gather JavaScript Code;
- Identify Endpoints;
- Detect Secrets;
- Locate Dangerous Functions;
- Discover Outdated Libraries.
• Dynamic analysis:
- Basic Tools;
- Example Application;
- Client-Side Filtering;
- Finding the Entry Point;
- The Debugger;
- General Advice.
• Obfuscation & Deobfuscation:
- Minification;
- Beautification;
- Source Maps;
- Minification and Analysis;
- Obfuscation;
- Deobfuscation;
- Obfuscation and Analysis.
• Hands-On: Analyze obfuscated code:
- Example Application;
- Finding the Entry Point;
- Locating the Value of Interest;
- The Unpacking Function;
- Reconstructing the Signing Call;
- Decoding the Key;
- Signing Manipulated JWTs.
• Local Overrides:
- Temporary Changes in Developer Tools;
- Persistent Changes in Developer Tools;
- Persistent Changes in Burp Suite.
• Bypass code protection:
- Setup;
- Self Defending;
- Debug protection;
- Disable console output;
- General advice.
• Wrapping Up:
- Some References.

#JavaScript #Пентест

📚 Искусство тестирования на проникновение в сеть.

• Данная книга – это руководство по моделированию недостатков внутренней безопасности компании. В роли злоумышленника вы пройдете все этапы профессионального пентеста, от сбора информации до захвата полного контроля над сетью. Подбирая пароли, обнаруживая открытые порты и повышая права доступа до уровня администратора, вы на практике усвоите, в чем заключаются сетевые уязвимости и как ими воспользоваться.

#RU #Пентест