Очень вдохновляют истории, когда исследователь собирает цепочку багов в один красивый вектор атаки. Разбирается, пробует варианты долгое время, не бросает и один из вариантов все-таки получается. Моя любимая статья, победитель Pentest award 2023 как раз такая Как за неделю превратить Open redirect в RCE.

В этот раз уговорила подать какой-нибудь из своих векторов fat_dog с которым мы иногда вместе ищем уязвимости. Он собирал разные мисконфиги в один баг 1 месяц и получил высокорисковый вектор.

Если у вас так же есть о чем рассказать, в этом году стало больше номинаций Pentest award - подавайте заявку до 30 июня.

Хмм, что-то устала, надо отдохнуть от багбаунти. Так же я опять иду вечерами фармить баги. Затягивает иногда похлеще варкрафта (или кто во что залипает - сериалы/книги).

Автоматизация пока нашла 1 принятый баг, но окупила виртуалки на несколько месяцев. Продолжаю ее писать.

Глубоко поражена своей не удачей.

Пока не знаю:
* Отказываться от запуск через gitlab pipeline schedules?
* Костылить через api (у gitlab многие ограничения так обходятся - хочешь нажимать кнопку, то плати).
* Покупать Premium за 29 долларов в месяц, чтобы это ограничение стало 50 или 100 на self hosted?
* Искать race condition в gitlab?
* Переписать все на просто запуск по cron на сервачке?

Столько вопросов и так мало ответов.

Эхх не быть мне BugbountyDevSec-м.
#bugbounty

Пока я жду согласования расскрыть один из кейсов (решила, что есть что-то любопытное и у меня в последний момент) у вас есть возможность подать заявку.

И помните то, что может казаться скучным вам - может быть интересным и новым для других.

https://award.awillix.ru/

Побыла немного багхантерской феей крестной. Поставили мне дубликаты двух багов: high и medium. Смотрю - а оригинальные репорты с такой же критичностью, но со статусом информатив и давностью 1.5 месяца. Написали, что решили не править эту багу, хотя я не представляю как можно было принять такое решение.

Я собирала данные и доказательства почему это нужно фиксить, нашла много продовских данных, дискутировала, подавала на медиацию отчетов. В итоге вчера (где-то 4 недели спустя) смотрю, а оригинальные отчеты приняли и без понижения критичности.

Может тут и не только моя помощь сыграла, но буду считать, что для этих отчетов сделала волшебный дзынь-дзынь.

В последнее время часто замечаю, что при n-попытке вызвать метод получается обойти проверки.

Например, метод позволяет парсить csv. По тексту ошибки определяешь что эта за библиотека и что она может работать со всеми excel форматами.

Пробуешь загрузить xlsx для тестирования XXE - получаешь ошибку "неподерживаемый формат файла". Пробуешь последовательно вызвать метод n-раз и проверка обходится.

Так как сервис тестируется блекбоксом, я могу только предполагать из-за чего возникает эта проблема. Возможно на определение типа файла реализован отдельный микросервис и в определенный момент он отдаешь ошибку. Метод загрузки файла не предусмотрел такой ответ и просто пропускает проверку.

Аналогично встречала при подтверждении email. На k-попытку проверку кода подтверждения получается обойти. Но при этом воспроизвести стабильно, чтобы собрать все данные и завести в багбаунти не получается. А пока я пытаюсь получить стабильную версию скрипта, баг обычно исправляют.

Заводите ли в бб плавающие баги?

Всем привет.

Прочитала статью https://habr.com/ru/articles/927672/ и особенно зацепилась

И различные разработчики периодически мне пытались доказать, что найденной мной проблемы якобы нет и им-то лучше знать как работает их код.

Тоже сталкивалась с таким в багбаунти у разных вендоров.

Варианты 1
Сдаешь уязвимость - ее исправляют, а потом приходят "нам разработчик сказал, что у нас так не работало" - держи дырку от бублика. Некоторые вендора принимают отчет и оценивают только после исправления бага и ответ о наличие и критичности уязвимости ждут от команды разработки.

Варианты 2
Все сданные баги пофиксили за 3 дня, потом через неделю пришел триаж и сказал "баг не воспроизводится" - отчет закрываем как информационный. В этот момент я ухожу лечить нервы и пить ромашковый чай.

Только настойчивость, помощь площадки в некоторых случаях и наличие пруфов (данные, скрины, операции), помогло добиться принятия этих багов. После таких случаев я стала писать видео на все, даже самые простые баги.

Могу только предположить почему так происходит:
* Любой баг сначала попадает команде разработки, а потом туда приходит ИБ
* Рассинхрон процессов ИБ и dev
* KPI на количество критичных дефектов - именно этим я обьясняю отрицание, попытку скрыть наличие дефекта и быстрый молчаливый фикс. Помню как в мою работу QA нам хотели ввести KPI на наличие дефектов на проде. Я правда уволилась раньше реализации этой инициативы и не знаю чем дело закончилось.
* Бас фактор. Может быть там уволились сотрудники и весь процесс сломался?

Можно было бы сказать, что команда не готова к бб. Но первые 3 месяца открытия бб программы - самые показательные, именно в них прилетают 90% отчетов и это время команде научится, отладить и поменять свои процессы. Такой же проблемой страдают даже старые багбаунти программы

Не буду говорить, про попытку сэкономить, так как речь про крупные вендора и иногда такие случаи происходят с багами за буквально 15к. Мне кажется тут не в этом дело.

Мой совет новичкам - обязательно собирайте все доказательства наличие уязвимости, пишите видео и детально описывайте его воспроизведение.

#bugbounty #appsec

Снова мемы багбаунти. Что-то много стало в последнее время.

Я напоминаю раз в месяц (отчет был принят после фикса и не оплачен).
Мне напоминают сделать ритест каждые 2 дня. Хотя уверена, что это автоматизация. Идея для бота, который будет отправлять 1 раз в неделю "Ну как там с деньгами?" во всем принятые, но не оплаченные отчеты.

Я уже морально в отпуске и на фесте (который кстати тоже называется ББ, совпадение? - не думаю). Поиск уязвимостей для скучных, грустных, дождливых осенних вечеров.

#bugbounty

Что ж начинается режим студенческий, когда за короткий срок надо сделать все-все выучить к экзамену, сделать курсовую и тд и тп.

* Приняли доклад на OFFZONE - 3 недели чтобы сделать презентацию
* Участвую в Bugs Zone, т е презентацию нужно сделать за 1.5 недели, чтобы заниматься только поиском багов
* Подала 2 заявки на pentest award и надо будет решить ехать или нет, если пройду в шорт лист (или вообще какой-нибудь лист)

Одновременно будут личные дела и поездки с палаткой надо тоже как-то уместить.

Спасибо вузу, что научил фигачить в сжатые сроки, совмещая с работой.

Попала в шорт лист Pentest Award в номинации «**ck the logic» с вектором атаки жулик не воруй "Денежная ловушка или эксплуатация BAC биллинга"

Теперь в список дел добавилась поездка в Москву.

Теория говнокода

Когда начинаешь поиск уязвимостей руками в режиме "посмотрю вечерком" в багбаунти - "что первым протестировать"?

Можно пойти не путем проверки стандартных фич и тестов, а предположить на какую фичу разработка потратили наименьшее количество времени.

Что же это за фичи:
* Фичи в режиме А/Б тестов, мвп - все что по задумке маркетологов собирается на коленке, что бы проверить реакцию пользователей и в случае успеха будет создаваться полноценно.
* Маркетинговые предложения, конкурсы, игры - все то что потребуется ограниченное число раз и не будет тестироваться.
* То где есть ограниченные сроки в режиме "мы не можем опоздать". Например, системы, которые затрагиваются новыми законами от государства - одной из таких является ЭДО, требования к которым периодически меняются.

Видишь в системе ЭДО (электронный документооборот) есть велика вероятность, что в нем будут баги.

Знакомый тимлид подсказала, что на проекты ЭДО всегда требуются люди - там большая текучка.

Награждение Pentest award закончилось. Интересно будет почитать отчеты призеров, надеюсь выложат - не все по краткому рассказу было понятно.

Больше всего понравились все призеры категории Web. XSS -> BAC -> получение кредов ssh из метаданных - это сильное сочетание.

Впечатлил @Russian_OSlNT который забрал все возможные награды в разных категориях и 3 медали за лучший отчет от разных членов жури.

Я никакого места не заняла, но одному из жури понравился мой отчет - дали медальку и bo0om сказал: "что-то слишком часто слышу ник SavAnna в последнее время - новенькие приобщается к тусовке".

Раннеры крутятся - баги мутятся. Расскажу про все свои эксперименты, костыли и что удалось получить в автоматизации багбаунти.

Узнаем способны ли сканеры находить баги в публичных багбаунти программах и как получать вознаграждения, попивая сок у себя на квартале.

В ходе исследования ни один триажер не пострадал.

https://offzone.moscow/program/gitlab-defectdojo-ai-how-i-automated-bug-hunting-in-bug-bounty/

Закончился первый день OFFZONE, начался второй.

Большое спасибо всем кто пришел на мой доклад "GitLab + DefectDojo + AI: как я автоматизировала поиск багов в bug bounty" и всем кто пишет инструменты и дает их сообществу.

В ходе эксперементов ни один триажер не пострадал - перед заведением багов я продолжаю смотреть и докручивать их.

После доклада я набралась идей как можно улучшить разбор файндингов и AI агента.

Прикрепляю презентацию - в ней есть небольшая опечатка, но раз уж назвался subfindre - будь им.

На OFFZONE на стенде WB были настолько вкусные коктейли, что решила что-нибудь занести, чтобы попасть на их приватку. Промокод опять же надо использовать.

Меня очень просто заманить.

https://t.iss.one/wildberries_bugbounty/16 - отбор продлили до 29 августа.

Первый баг сданный в багбаунти.

Я работала AppSec-м. У нас подумывали открыть багбаунти программу (сделала презентацию, что может нам попробовать - ИБ призывно шевелил бровями) и я хотела посмотреть как процесс выглядит со стороны хакера и как вендора работают с отчетами. На платформе standoff365 я была уже зарегистрирована (на PHDays за регистрацию давали пиво). Так что мне оставалось выбрать вендоров и сдать баги. Это были Консоль и VK.

В VK я сдала в почту фигульку и мне очень подробно и хорошо обьяснили почему "try harder" - это информатив.

В Консоль я просто нашла сваггер и прошлась по всем методам. Сдала таким образом 3 бага и получила первое баунти. Хотя программа была открытой уже год.

Процесс был представлен в презентации (больше презентаций богу презентации), но баги искать в багбаунти понравилось, теперь это мое хобби.

Поделитесь у кого какая история первой уязвимости сданной в багбаунти или вообще первой найденной уязвимости?

Всем привет.

Запись моего доклада "GitLab + DefectDojo + AI: как я автоматизировала поиск багов в bug bounty" с OFFZONE.
https://vkvideo.ru/playlist/-172362100_17/video-172362100_456239233

Пока только на vk видео. Дополню как выложат на остальные.

Всем привет.

Около 3 лет я веду различные обучающие активности для команд разработки и особенно QA с целью появление в командах security чемпионов.

Короткие доклады с "Вау эффектом", мастер-классы, отдельные CTF задания с призами, статьи, короткие заметки, чек-листы, security понедельники. Не все из этого было эффективно, многое менялось или отмирало.
Сейчас перешли к очным форматам по блокам: доклад 1 час + решение лабы поствиггера вместе. 1 блок 3-4 занятия каждые 2 недели.

Лучшее за год и то что было понятнее всего слушателям (и где остался не 1 человек) - подаю доклад и очень часто это что-то из BAC или аутентификации. Так как забавных и странных примеров из багбаунти тоже накопилось, надеюсь будет интересно и начинающим багхантерам/специалистам ИБ - доклад "Broken access control через уязвимости бизнес-логики".

https://heisenbug.ru/talks/424941c1972c49568ccc85a4e62ebbf4/?referer=%2Fschedule%2Ftable%2F