С новым годом, друзья!

Пусть в вашей жизни будет больше сданных отчётов и флагов, меньше печали и больше дисклозов!

Данные о ваших перемещениях, посещаемые сайты и метаданные ваших телефонных переговоров стоят... 3.5 рубля!

Интереснейший ресёрч на хабре от моего хорошего знакомого, в котором он осветил тему слива данных мобильными операторами по цене спичечного коробка

Читать

Очень прошу помочь с репостами, такой легальный пробив не должен существовать.

Наткнулся на пост Жени о переиспользовании токенов и вспомнил интересный факт о jwt

Если в подписи jwt токена изменить последнюю букву на следующую в алфавите, то токен останется валидным.

Пример:
Мы сгенерировали токен

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

Изменили последнюю букву с "c" на "d":

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5d

Токен остался валидным, можно проверить на jwt.io или любом другом сервисе декодирования jwt токенов.

Связано это с особенностью кодировки base64. Протестировал в некоторых багбаунти программах и, используя его, смог получить импакт использования отозванных токенов в приложениях, добавляющих токены в блэклист.

К слову, на эту функцию был направлен один из моих тасков на Гойда CTF. Райтапы скоро будут, честно-честно)

Статья, из которой я узнал об уязвимости

Как подсказали ребята в чатике, в гугле есть такая же фишка.

Алгоритм всё тот же:
1. Вводим номер телефона
2. Начинаем восстанавливать пароль
3. Запрашиваем подтверждение по телефону

Политика компаний подразумевает, что данные о модели телефона не являются конфиденциальными, хотя по идее так можно спокойно собирать статистику, ну и банально это даёт поле для Osint расследований.

Ну и есть прикол, что у пользователей яблочной продукции зачастую в названии устройства стоит реальное имя.

Как по мне, немного странное решение, но не админу осуждать гугл ¯\_(ツ)_/¯

Еду на митап VK, буду рад всех видеть)

Изучая документацию jadx наткнулся на упоминание, что его можно подключить как библиотеку в свое Java приложение. И эта идея настолько понравилась, что в итоге вылилась в небольшой комбайн, который удобно использовать для первоначальной обработки JAR/WAR/APK приложений при анализе защищенности.

https://github.com/BlackFan/BFScan

BFScan анализирует строковые константы в Java-классах и ресурсах приложения для поиска строк, похожих на URL, пути или захардкоженные секреты.
А также формирует сырые HTTP запросы и OpenAPI спецификацию на основе конфигов, аннотаций методов и классов. При этом поддерживаются как клиентские библиотеки (например, Retrofit), используемые в APK для взаимодействия с бэкендом, так и серверные технологии, такие как Spring-аннотации. Что значительно облегчает тестирование API, когда тело HTTP запроса необходимо сформировать из десятка вложенных классов.

Рассмотрим пример работы утилиты с классом, использующим Spring-аннотации.

@RestController
@RequestMapping("/api")
public class UserController {

    @PostMapping("createUser")
    public String create(@RequestParam Optional<String> someParamName, @RequestBody User user) {
        return "response";
    }

В случае, если обрабатываемое приложение использует поддерживаемую библиотеку, утилита сгенерирует файл, содержащий все HTTP запросы, поддерживаемые приложением.

POST /api/createUser?someParamName=value HTTP/1.1
Host: localhost
Connection: close
Content-Type: application/json

{
  "name": "name",
  "age": 1
}

Приложение удобно использовать как для клиентских приложений, когда вы анализируете API мобильного приложения. Так и в случае, если вы получили скомпилированный JAR/WAR от серверного приложения, для поиска в нем захардкоженных секретов или дальнейшего анализа API эндпоинтов, которое оно обрабатывает.

Если приложение обфусцировано, что часто бывает с APK, утилита проанализирует все аннотации и, если они похожи на типичное объявление API эндпоинтов, построит HTTP запросы на основе них. В случае, если данная функциональность сработала неправильно, используя jadx вы можно легко сформировать mapping-файлы для переименования обфусцированных классов и корректного формирования HTTP-запросов.

с первым апреля

Не все знают, но на PHDays с прошлого года проходит соревнование по социальной инженерии, в рамках которого участникам предлагается пропентестить конференцию, используя исключительно социалку.

Например, в прошлом году требовалось обманным путем получить пропуска организаторов, несанкционированно проникнуть в штаб организаторов и сделать там фото пароля от сети wi-fi.

В этом году будет проводиться такой же конкурс, в котором я с командой несомненно буду участвовать. И у нас появилась крайне интересная идея для нового контента!


Будет ли вам интересно, если мы запишем все прохождение заданий на скрытую боди камеру, после чего выложим данное видео в канал? Мне данная идея кажется крайне интересной и даже полезной для обеспечения физической безопасности мероприятий. Что думаете?

Друзья из команды Duckerz совместно со Standoff365 проводят конкурс, наградами в котором будут 10 проходок на PHDays!

Участникам к решению предлагаются 4 задания в формате багбаунти, первые 10 решивших получат бесплатные билеты на экспертную часть PHDays

От себя прошу опытных багхантеров не забирать все проходки, так как конкурс направлен на новичков

Жду всех на phd, товарищи!

⚡️Павел Дуров заявил, что намерен принять участие в Гойда-CTF 2026

Просто есть реальный хакинг кибер война. А всякие баги баунти это ни о чем.