В эту пятницу в Москве завершился Bugs Zone 4. Спасибо Bizone bugbounty что снова позвали. Было 3 вендора.
В этот раз решила попробовать не типичную для меня схему. Я не бегала как ужаленная шмелем, а решила сосредоточить внимание на одной программе и конкретно на одной фиче, которая гипотетически могла дать критическую уязвимость с максимально возможным на систему импактом (да, да, хочется RCE знаете ли). Но не получилось, удача была не на моей стороне и я заняла 14 место с 1 принятым микро багом.
Пока я гундела своим близким как мало нашла в этот раз.А я девочка и хочу просто жать кнопку "получить выплату в Консоле". Муж запилил мне кнопку богаства, которой я поделилась в чате Багса. Тапать Баксы внутри Багса приняли участие 27 хакеров. 3 из которых пытались найти уязвимость уже в этом мега-сервисе, меняя имя на <script>alert(1)</sc и тд.
К сожалению я не смогла поучаствовать в очной часте, мерч из-за этого тоже не достался Т___Т. Было ли весело - несомненно. Жду следующий.
#bugbounty
В этот раз решила попробовать не типичную для меня схему. Я не бегала как ужаленная шмелем, а решила сосредоточить внимание на одной программе и конкретно на одной фиче, которая гипотетически могла дать критическую уязвимость с максимально возможным на систему импактом (да, да, хочется RCE знаете ли). Но не получилось, удача была не на моей стороне и я заняла 14 место с 1 принятым микро багом.
Пока я гундела своим близким как мало нашла в этот раз.
К сожалению я не смогла поучаствовать в очной часте, мерч из-за этого тоже не достался Т___Т. Было ли весело - несомненно. Жду следующий.
#bugbounty
🔥10😁5👍1😢1😴1
Посетила конференцию Cyberwave в Питере, которая прошла в Планетарии 1. Сидеть на пуфах и смотреть на небо интересные доклады из блу и ред тим было отлично. Особенно понравились доклады "Игра в скамера" про антифрод , Утечки информации: примеры, кейсы из бб/пентестов и "Знаем свои зависимости мощно и быстро". Пообщалась, поиграла в CTF, сфотографировала издалека усы bo0om-а.
Узнала от VK инсайд, что пора сдавать баги и скоро что-то будет (что именно не известно, но думаю интересно). Ждем.
Узнала от VK инсайд, что пора сдавать баги и скоро что-то будет (что именно не известно, но думаю интересно). Ждем.
🔥12👏4❤3❤🔥2
Очень вдохновляют истории, когда исследователь собирает цепочку багов в один красивый вектор атаки. Разбирается, пробует варианты долгое время, не бросает и один из вариантов все-таки получается. Моя любимая статья, победитель Pentest award 2023 как раз такая Как за неделю превратить Open redirect в RCE.
В этот раз уговорила подать какой-нибудь из своих векторов fat_dog с которым мы иногда вместе ищем уязвимости. Он собирал разные мисконфиги в один баг 1 месяц и получил высокорисковый вектор.
Если у вас так же есть о чем рассказать, в этом году стало больше номинаций Pentest award - подавайте заявку до 30 июня.
В этот раз уговорила подать какой-нибудь из своих векторов fat_dog с которым мы иногда вместе ищем уязвимости. Он собирал разные мисконфиги в один баг 1 месяц и получил высокорисковый вектор.
Если у вас так же есть о чем рассказать, в этом году стало больше номинаций Pentest award - подавайте заявку до 30 июня.
award.awillix.ru
Awillix Award 2025
Первая в России ежегодная независимая премия для пентестеров.
🔥5👍4🤩1
Глубоко поражена своей не удачей.
Пока не знаю:
* Отказываться от запуск через gitlab pipeline schedules?
* Костылить через api (у gitlab многие ограничения так обходятся - хочешь нажимать кнопку, то плати).
* Покупать Premium за 29 долларов в месяц, чтобы это ограничение стало 50 или 100 на self hosted?
* Искать race condition в gitlab?
* Переписать все на просто запуск по cron на сервачке?
Столько вопросов и так мало ответов.
Эхх не быть мне BugbountyDevSec-м.
#bugbounty
Пока не знаю:
* Отказываться от запуск через gitlab pipeline schedules?
* Костылить через api (у gitlab многие ограничения так обходятся - хочешь нажимать кнопку, то плати).
* Покупать Premium за 29 долларов в месяц, чтобы это ограничение стало 50 или 100 на self hosted?
* Искать race condition в gitlab?
* Переписать все на просто запуск по cron на сервачке?
Столько вопросов и так мало ответов.
Эхх не быть мне BugbountyDevSec-м.
#bugbounty
😢7🫡4
Пока я жду согласования расскрыть один из кейсов (решила, что есть что-то любопытное и у меня в последний момент) у вас есть возможность подать заявку.
И помните то, что может казаться скучным вам - может быть интересным и новым для других.
https://award.awillix.ru/
И помните то, что может казаться скучным вам - может быть интересным и новым для других.
https://award.awillix.ru/
❤4🤣3❤🔥2✍2🤨2😐2👏1😁1
Побыла немного багхантерской феей крестной. Поставили мне дубликаты двух багов: high и medium. Смотрю - а оригинальные репорты с такой же критичностью, но со статусом информатив и давностью 1.5 месяца. Написали, что решили не править эту багу, хотя я не представляю как можно было принять такое решение.
Я собирала данные и доказательства почему это нужно фиксить, нашла много продовских данных, дискутировала, подавала на медиацию отчетов. В итоге вчера (где-то 4 недели спустя) смотрю, а оригинальные отчеты приняли и без понижения критичности.
Может тут и не только моя помощь сыграла, но буду считать, что для этих отчетов сделала волшебный дзынь-дзынь.
Я собирала данные и доказательства почему это нужно фиксить, нашла много продовских данных, дискутировала, подавала на медиацию отчетов. В итоге вчера (где-то 4 недели спустя) смотрю, а оригинальные отчеты приняли и без понижения критичности.
Может тут и не только моя помощь сыграла, но буду считать, что для этих отчетов сделала волшебный дзынь-дзынь.
👏26❤8😁2🫡2👍1
В последнее время часто замечаю, что при n-попытке вызвать метод получается обойти проверки.
Например, метод позволяет парсить csv. По тексту ошибки определяешь что эта за библиотека и что она может работать со всеми excel форматами.
Пробуешь загрузить xlsx для тестирования XXE - получаешь ошибку "неподерживаемый формат файла". Пробуешь последовательно вызвать метод n-раз и проверка обходится.
Так как сервис тестируется блекбоксом, я могу только предполагать из-за чего возникает эта проблема. Возможно на определение типа файла реализован отдельный микросервис и в определенный момент он отдаешь ошибку. Метод загрузки файла не предусмотрел такой ответ и просто пропускает проверку.
Аналогично встречала при подтверждении email. На k-попытку проверку кода подтверждения получается обойти. Но при этом воспроизвести стабильно, чтобы собрать все данные и завести в багбаунти не получается. А пока я пытаюсь получить стабильную версию скрипта, баг обычно исправляют.
Заводите ли в бб плавающие баги?
Например, метод позволяет парсить csv. По тексту ошибки определяешь что эта за библиотека и что она может работать со всеми excel форматами.
Пробуешь загрузить xlsx для тестирования XXE - получаешь ошибку "неподерживаемый формат файла". Пробуешь последовательно вызвать метод n-раз и проверка обходится.
Так как сервис тестируется блекбоксом, я могу только предполагать из-за чего возникает эта проблема. Возможно на определение типа файла реализован отдельный микросервис и в определенный момент он отдаешь ошибку. Метод загрузки файла не предусмотрел такой ответ и просто пропускает проверку.
Аналогично встречала при подтверждении email. На k-попытку проверку кода подтверждения получается обойти. Но при этом воспроизвести стабильно, чтобы собрать все данные и завести в багбаунти не получается. А пока я пытаюсь получить стабильную версию скрипта, баг обычно исправляют.
Заводите ли в бб плавающие баги?
👍14🔥8👏2
Всем привет.
Прочитала статью https://habr.com/ru/articles/927672/ и особенно зацепилась
Тоже сталкивалась с таким в багбаунти у разных вендоров.
Варианты 1
Сдаешь уязвимость - ее исправляют, а потом приходят "нам разработчик сказал, что у нас так не работало" - держи дырку от бублика. Некоторые вендора принимают отчет и оценивают только после исправления бага и ответ о наличие и критичности уязвимости ждут от команды разработки.
Варианты 2
Все сданные баги пофиксили за 3 дня, потом через неделю пришел триаж и сказал "баг не воспроизводится" - отчет закрываем как информационный. В этот момент я ухожу лечить нервы и пить ромашковый чай.
Только настойчивость, помощь площадки в некоторых случаях и наличие пруфов (данные, скрины, операции), помогло добиться принятия этих багов. После таких случаев я стала писать видео на все, даже самые простые баги.
Могу только предположить почему так происходит:
* Любой баг сначала попадает команде разработки, а потом туда приходит ИБ
* Рассинхрон процессов ИБ и dev
* KPI на количество критичных дефектов - именно этим я обьясняю отрицание, попытку скрыть наличие дефекта и быстрый молчаливый фикс. Помню как в мою работу QA нам хотели ввести KPI на наличие дефектов на проде. Я правда уволилась раньше реализации этой инициативы и не знаю чем дело закончилось.
* Бас фактор. Может быть там уволились сотрудники и весь процесс сломался?
Можно было бы сказать, что команда не готова к бб. Но первые 3 месяца открытия бб программы - самые показательные, именно в них прилетают 90% отчетов и это время команде научится, отладить и поменять свои процессы. Такой же проблемой страдают даже старые багбаунти программы
Не буду говорить, про попытку сэкономить, так как речь про крупные вендора и иногда такие случаи происходят с багами за буквально 15к. Мне кажется тут не в этом дело.
Мой совет новичкам - обязательно собирайте все доказательства наличие уязвимости, пишите видео и детально описывайте его воспроизведение.
#bugbounty #appsec
Прочитала статью https://habr.com/ru/articles/927672/ и особенно зацепилась
И различные разработчики периодически мне пытались доказать, что найденной мной проблемы якобы нет и им-то лучше знать как работает их код.
Тоже сталкивалась с таким в багбаунти у разных вендоров.
Варианты 1
Сдаешь уязвимость - ее исправляют, а потом приходят "нам разработчик сказал, что у нас так не работало" - держи дырку от бублика. Некоторые вендора принимают отчет и оценивают только после исправления бага и ответ о наличие и критичности уязвимости ждут от команды разработки.
Варианты 2
Все сданные баги пофиксили за 3 дня, потом через неделю пришел триаж и сказал "баг не воспроизводится" - отчет закрываем как информационный. В этот момент я ухожу лечить нервы и пить ромашковый чай.
Только настойчивость, помощь площадки в некоторых случаях и наличие пруфов (данные, скрины, операции), помогло добиться принятия этих багов. После таких случаев я стала писать видео на все, даже самые простые баги.
Могу только предположить почему так происходит:
* Любой баг сначала попадает команде разработки, а потом туда приходит ИБ
* Рассинхрон процессов ИБ и dev
* KPI на количество критичных дефектов - именно этим я обьясняю отрицание, попытку скрыть наличие дефекта и быстрый молчаливый фикс. Помню как в мою работу QA нам хотели ввести KPI на наличие дефектов на проде. Я правда уволилась раньше реализации этой инициативы и не знаю чем дело закончилось.
* Бас фактор. Может быть там уволились сотрудники и весь процесс сломался?
Можно было бы сказать, что команда не готова к бб. Но первые 3 месяца открытия бб программы - самые показательные, именно в них прилетают 90% отчетов и это время команде научится, отладить и поменять свои процессы. Такой же проблемой страдают даже старые багбаунти программы
Не буду говорить, про попытку сэкономить, так как речь про крупные вендора и иногда такие случаи происходят с багами за буквально 15к. Мне кажется тут не в этом дело.
Мой совет новичкам - обязательно собирайте все доказательства наличие уязвимости, пишите видео и детально описывайте его воспроизведение.
#bugbounty #appsec
Хабр
Как я зарегистрировал CVE и разозлил вендора
Из м\ф "Головоломка", 2015, США (реж. Пит Доктер, Роналдо Дель Кармен) Статьи про багхантинг часто говорят о пользе для резюме, багбаунти, повышении безопасности продуктов, доступе на закрытые...
💯18🔥8❤1
Снова мемы багбаунти. Что-то много стало в последнее время.
Я напоминаю раз в месяц (отчет был принят после фикса и не оплачен).
Мне напоминают сделать ритест каждые 2 дня. Хотя уверена, что это автоматизация. Идея для бота, который будет отправлять 1 раз в неделю "Ну как там с деньгами?" во всем принятые, но не оплаченные отчеты.
Я уже морально в отпуске и на фесте (который кстати тоже называется ББ, совпадение? - не думаю). Поиск уязвимостей для скучных, грустных, дождливых осенних вечеров.
#bugbounty
Я напоминаю раз в месяц (отчет был принят после фикса и не оплачен).
Мне напоминают сделать ритест каждые 2 дня. Хотя уверена, что это автоматизация. Идея для бота, который будет отправлять 1 раз в неделю "Ну как там с деньгами?" во всем принятые, но не оплаченные отчеты.
Я уже морально в отпуске и на фесте (который кстати тоже называется ББ, совпадение? - не думаю). Поиск уязвимостей для скучных, грустных, дождливых осенних вечеров.
#bugbounty
🤨15❤6🦄3👍2🤔1
Что ж начинается режим студенческий, когда за короткий срок надо сделать все-все выучить к экзамену, сделать курсовую и тд и тп.
* Приняли доклад на OFFZONE - 3 недели чтобы сделать презентацию
* Участвую в Bugs Zone, т е презентацию нужно сделать за 1.5 недели, чтобы заниматься только поиском багов
* Подала 2 заявки на pentest award и надо будет решить ехать или нет, если пройду в шорт лист (или вообще какой-нибудь лист)
Одновременно будут личные дела и поездки с палаткой надо тоже как-то уместить.
Спасибо вузу, что научил фигачить в сжатые сроки, совмещая с работой.
* Приняли доклад на OFFZONE - 3 недели чтобы сделать презентацию
* Участвую в Bugs Zone, т е презентацию нужно сделать за 1.5 недели, чтобы заниматься только поиском багов
* Подала 2 заявки на pentest award и надо будет решить ехать или нет, если пройду в шорт лист (или вообще какой-нибудь лист)
Одновременно будут личные дела и поездки с палаткой надо тоже как-то уместить.
Спасибо вузу, что научил фигачить в сжатые сроки, совмещая с работой.
🔥31
Попала в шорт лист Pentest Award в номинации «**ck the logic» с вектором атаки жулик не воруй "Денежная ловушка или эксплуатация BAC биллинга"
Теперь в список дел добавилась поездка в Москву.
Теперь в список дел добавилась поездка в Москву.
Telegram
Just Security
Шорт-лист📋
На третий год проведения первой и единственной в России премии для этичных хакеров мы получили 140 заявок. Перед вами шорт-лист финалистов 2025. Списки не ранжированы, победителей объявим на церемонии награждения.
➡️Пробив WEB
baksist
Nmikryukov…
На третий год проведения первой и единственной в России премии для этичных хакеров мы получили 140 заявок. Перед вами шорт-лист финалистов 2025. Списки не ранжированы, победителей объявим на церемонии награждения.
➡️Пробив WEB
baksist
Nmikryukov…
🔥34❤4👍3🤩1😍1
Теория говнокода
Когда начинаешь поиск уязвимостей руками в режиме "посмотрю вечерком" в багбаунти - "что первым протестировать"?
Можно пойти не путем проверки стандартных фич и тестов, а предположить на какую фичу разработка потратили наименьшее количество времени.
Что же это за фичи:
* Фичи в режиме А/Б тестов, мвп - все что по задумке маркетологов собирается на коленке, что бы проверить реакцию пользователей и в случае успеха будет создаваться полноценно.
* Маркетинговые предложения, конкурсы, игры - все то что потребуется ограниченное число раз и не будет тестироваться.
* То где есть ограниченные сроки в режиме "мы не можем опоздать". Например, системы, которые затрагиваются новыми законами от государства - одной из таких является ЭДО, требования к которым периодически меняются.
Видишь в системе ЭДО (электронный документооборот) есть велика вероятность, что в нем будут баги.
Знакомый тимлид подсказала, что на проекты ЭДО всегда требуются люди - там большая текучка.
Когда начинаешь поиск уязвимостей руками в режиме "посмотрю вечерком" в багбаунти - "что первым протестировать"?
Можно пойти не путем проверки стандартных фич и тестов, а предположить на какую фичу разработка потратили наименьшее количество времени.
Что же это за фичи:
* Фичи в режиме А/Б тестов, мвп - все что по задумке маркетологов собирается на коленке, что бы проверить реакцию пользователей и в случае успеха будет создаваться полноценно.
* Маркетинговые предложения, конкурсы, игры - все то что потребуется ограниченное число раз и не будет тестироваться.
* То где есть ограниченные сроки в режиме "мы не можем опоздать". Например, системы, которые затрагиваются новыми законами от государства - одной из таких является ЭДО, требования к которым периодически меняются.
Видишь в системе ЭДО (электронный документооборот) есть велика вероятность, что в нем будут баги.
Знакомый тимлид подсказала, что на проекты ЭДО всегда требуются люди - там большая текучка.
❤16👍7🤔1
Награждение Pentest award закончилось. Интересно будет почитать отчеты призеров, надеюсь выложат - не все по краткому рассказу было понятно.
Больше всего понравились все призеры категории Web. XSS -> BAC -> получение кредов ssh из метаданных - это сильное сочетание.
Впечатлил @Russian_OSlNT который забрал все возможные награды в разных категориях и 3 медали за лучший отчет от разных членов жури.
Я никакого места не заняла, но одному из жури понравился мой отчет - дали медальку и bo0om сказал: "что-то слишком часто слышу ник SavAnna в последнее время - новенькие приобщается к тусовке".
Больше всего понравились все призеры категории Web. XSS -> BAC -> получение кредов ssh из метаданных - это сильное сочетание.
Впечатлил @Russian_OSlNT который забрал все возможные награды в разных категориях и 3 медали за лучший отчет от разных членов жури.
Я никакого места не заняла, но одному из жури понравился мой отчет - дали медальку и bo0om сказал: "что-то слишком часто слышу ник SavAnna в последнее время - новенькие приобщается к тусовке".
🎉22❤🔥10🔥5🍾3
Раннеры крутятся - баги мутятся. Расскажу про все свои эксперименты, костыли и что удалось получить в автоматизации багбаунти.
Узнаем способны ли сканеры находить баги в публичных багбаунти программах и как получать вознаграждения, попивая сок у себя на квартале.
В ходе исследования ни один триажер не пострадал.
https://offzone.moscow/program/gitlab-defectdojo-ai-how-i-automated-bug-hunting-in-bug-bounty/
Узнаем способны ли сканеры находить баги в публичных багбаунти программах и как получать вознаграждения, попивая сок у себя на квартале.
В ходе исследования ни один триажер не пострадал.
https://offzone.moscow/program/gitlab-defectdojo-ai-how-i-automated-bug-hunting-in-bug-bounty/
🔥29❤5👍5
Закончился первый день OFFZONE, начался второй.
Большое спасибо всем кто пришел на мой доклад "GitLab + DefectDojo + AI: как я автоматизировала поиск багов в bug bounty" и всем кто пишет инструменты и дает их сообществу.
В ходе эксперементов ни один триажер не пострадал - перед заведением багов я продолжаю смотреть и докручивать их.
После доклада я набралась идей как можно улучшить разбор файндингов и AI агента.
Прикрепляю презентацию - в ней есть небольшая опечатка, но раз уж назвался subfindre - будь им.
Большое спасибо всем кто пришел на мой доклад "GitLab + DefectDojo + AI: как я автоматизировала поиск багов в bug bounty" и всем кто пишет инструменты и дает их сообществу.
В ходе эксперементов ни один триажер не пострадал - перед заведением багов я продолжаю смотреть и докручивать их.
После доклада я набралась идей как можно улучшить разбор файндингов и AI агента.
Прикрепляю презентацию - в ней есть небольшая опечатка, но раз уж назвался subfindre - будь им.
🔥35❤13❤🔥1