Очень вдохновляют истории, когда исследователь собирает цепочку багов в один красивый вектор атаки. Разбирается, пробует варианты долгое время, не бросает и один из вариантов все-таки получается. Моя любимая статья, победитель Pentest award 2023 как раз такая Как за неделю превратить Open redirect в RCE.

В этот раз уговорила подать какой-нибудь из своих векторов fat_dog с которым мы иногда вместе ищем уязвимости. Он собирал разные мисконфиги в один баг 1 месяц и получил высокорисковый вектор.

Если у вас так же есть о чем рассказать, в этом году стало больше номинаций Pentest award - подавайте заявку до 30 июня.

Хмм, что-то устала, надо отдохнуть от багбаунти. Так же я опять иду вечерами фармить баги. Затягивает иногда похлеще варкрафта (или кто во что залипает - сериалы/книги).

Автоматизация пока нашла 1 принятый баг, но окупила виртуалки на несколько месяцев. Продолжаю ее писать.

Глубоко поражена своей не удачей.

Пока не знаю:
* Отказываться от запуск через gitlab pipeline schedules?
* Костылить через api (у gitlab многие ограничения так обходятся - хочешь нажимать кнопку, то плати).
* Покупать Premium за 29 долларов в месяц, чтобы это ограничение стало 50 или 100 на self hosted?
* Искать race condition в gitlab?
* Переписать все на просто запуск по cron на сервачке?

Столько вопросов и так мало ответов.

Эхх не быть мне BugbountyDevSec-м.
#bugbounty

Пока я жду согласования расскрыть один из кейсов (решила, что есть что-то любопытное и у меня в последний момент) у вас есть возможность подать заявку.

И помните то, что может казаться скучным вам - может быть интересным и новым для других.

https://award.awillix.ru/

Побыла немного багхантерской феей крестной. Поставили мне дубликаты двух багов: high и medium. Смотрю - а оригинальные репорты с такой же критичностью, но со статусом информатив и давностью 1.5 месяца. Написали, что решили не править эту багу, хотя я не представляю как можно было принять такое решение.

Я собирала данные и доказательства почему это нужно фиксить, нашла много продовских данных, дискутировала, подавала на медиацию отчетов. В итоге вчера (где-то 4 недели спустя) смотрю, а оригинальные отчеты приняли и без понижения критичности.

Может тут и не только моя помощь сыграла, но буду считать, что для этих отчетов сделала волшебный дзынь-дзынь.

В последнее время часто замечаю, что при n-попытке вызвать метод получается обойти проверки.

Например, метод позволяет парсить csv. По тексту ошибки определяешь что эта за библиотека и что она может работать со всеми excel форматами.

Пробуешь загрузить xlsx для тестирования XXE - получаешь ошибку "неподерживаемый формат файла". Пробуешь последовательно вызвать метод n-раз и проверка обходится.

Так как сервис тестируется блекбоксом, я могу только предполагать из-за чего возникает эта проблема. Возможно на определение типа файла реализован отдельный микросервис и в определенный момент он отдаешь ошибку. Метод загрузки файла не предусмотрел такой ответ и просто пропускает проверку.

Аналогично встречала при подтверждении email. На k-попытку проверку кода подтверждения получается обойти. Но при этом воспроизвести стабильно, чтобы собрать все данные и завести в багбаунти не получается. А пока я пытаюсь получить стабильную версию скрипта, баг обычно исправляют.

Заводите ли в бб плавающие баги?

Всем привет.

Прочитала статью https://habr.com/ru/articles/927672/ и особенно зацепилась

И различные разработчики периодически мне пытались доказать, что найденной мной проблемы якобы нет и им-то лучше знать как работает их код.

Тоже сталкивалась с таким в багбаунти у разных вендоров.

Варианты 1
Сдаешь уязвимость - ее исправляют, а потом приходят "нам разработчик сказал, что у нас так не работало" - держи дырку от бублика. Некоторые вендора принимают отчет и оценивают только после исправления бага и ответ о наличие и критичности уязвимости ждут от команды разработки.

Варианты 2
Все сданные баги пофиксили за 3 дня, потом через неделю пришел триаж и сказал "баг не воспроизводится" - отчет закрываем как информационный. В этот момент я ухожу лечить нервы и пить ромашковый чай.

Только настойчивость, помощь площадки в некоторых случаях и наличие пруфов (данные, скрины, операции), помогло добиться принятия этих багов. После таких случаев я стала писать видео на все, даже самые простые баги.

Могу только предположить почему так происходит:
* Любой баг сначала попадает команде разработки, а потом туда приходит ИБ
* Рассинхрон процессов ИБ и dev
* KPI на количество критичных дефектов - именно этим я обьясняю отрицание, попытку скрыть наличие дефекта и быстрый молчаливый фикс. Помню как в мою работу QA нам хотели ввести KPI на наличие дефектов на проде. Я правда уволилась раньше реализации этой инициативы и не знаю чем дело закончилось.
* Бас фактор. Может быть там уволились сотрудники и весь процесс сломался?

Можно было бы сказать, что команда не готова к бб. Но первые 3 месяца открытия бб программы - самые показательные, именно в них прилетают 90% отчетов и это время команде научится, отладить и поменять свои процессы. Такой же проблемой страдают даже старые багбаунти программы

Не буду говорить, про попытку сэкономить, так как речь про крупные вендора и иногда такие случаи происходят с багами за буквально 15к. Мне кажется тут не в этом дело.

Мой совет новичкам - обязательно собирайте все доказательства наличие уязвимости, пишите видео и детально описывайте его воспроизведение.

#bugbounty #appsec

Снова мемы багбаунти. Что-то много стало в последнее время.

Я напоминаю раз в месяц (отчет был принят после фикса и не оплачен).
Мне напоминают сделать ритест каждые 2 дня. Хотя уверена, что это автоматизация. Идея для бота, который будет отправлять 1 раз в неделю "Ну как там с деньгами?" во всем принятые, но не оплаченные отчеты.

Я уже морально в отпуске и на фесте (который кстати тоже называется ББ, совпадение? - не думаю). Поиск уязвимостей для скучных, грустных, дождливых осенних вечеров.

#bugbounty

Что ж начинается режим студенческий, когда за короткий срок надо сделать все-все выучить к экзамену, сделать курсовую и тд и тп.

* Приняли доклад на OFFZONE - 3 недели чтобы сделать презентацию
* Участвую в Bugs Zone, т е презентацию нужно сделать за 1.5 недели, чтобы заниматься только поиском багов
* Подала 2 заявки на pentest award и надо будет решить ехать или нет, если пройду в шорт лист (или вообще какой-нибудь лист)

Одновременно будут личные дела и поездки с палаткой надо тоже как-то уместить.

Спасибо вузу, что научил фигачить в сжатые сроки, совмещая с работой.

Попала в шорт лист Pentest Award в номинации «**ck the logic» с вектором атаки жулик не воруй "Денежная ловушка или эксплуатация BAC биллинга"

Теперь в список дел добавилась поездка в Москву.

Теория говнокода

Когда начинаешь поиск уязвимостей руками в режиме "посмотрю вечерком" в багбаунти - "что первым протестировать"?

Можно пойти не путем проверки стандартных фич и тестов, а предположить на какую фичу разработка потратили наименьшее количество времени.

Что же это за фичи:
* Фичи в режиме А/Б тестов, мвп - все что по задумке маркетологов собирается на коленке, что бы проверить реакцию пользователей и в случае успеха будет создаваться полноценно.
* Маркетинговые предложения, конкурсы, игры - все то что потребуется ограниченное число раз и не будет тестироваться.
* То где есть ограниченные сроки в режиме "мы не можем опоздать". Например, системы, которые затрагиваются новыми законами от государства - одной из таких является ЭДО, требования к которым периодически меняются.

Видишь в системе ЭДО (электронный документооборот) есть велика вероятность, что в нем будут баги.

Знакомый тимлид подсказала, что на проекты ЭДО всегда требуются люди - там большая текучка.

Награждение Pentest award закончилось. Интересно будет почитать отчеты призеров, надеюсь выложат - не все по краткому рассказу было понятно.

Больше всего понравились все призеры категории Web. XSS -> BAC -> получение кредов ssh из метаданных - это сильное сочетание.

Впечатлил @Russian_OSlNT который забрал все возможные награды в разных категориях и 3 медали за лучший отчет от разных членов жури.

Я никакого места не заняла, но одному из жури понравился мой отчет - дали медальку и bo0om сказал: "что-то слишком часто слышу ник SavAnna в последнее время - новенькие приобщается к тусовке".

Раннеры крутятся - баги мутятся. Расскажу про все свои эксперименты, костыли и что удалось получить в автоматизации багбаунти.

Узнаем способны ли сканеры находить баги в публичных багбаунти программах и как получать вознаграждения, попивая сок у себя на квартале.

В ходе исследования ни один триажер не пострадал.

https://offzone.moscow/program/gitlab-defectdojo-ai-how-i-automated-bug-hunting-in-bug-bounty/

Закончился первый день OFFZONE, начался второй.

Большое спасибо всем кто пришел на мой доклад "GitLab + DefectDojo + AI: как я автоматизировала поиск багов в bug bounty" и всем кто пишет инструменты и дает их сообществу.

В ходе эксперементов ни один триажер не пострадал - перед заведением багов я продолжаю смотреть и докручивать их.

После доклада я набралась идей как можно улучшить разбор файндингов и AI агента.

Прикрепляю презентацию - в ней есть небольшая опечатка, но раз уж назвался subfindre - будь им.

На OFFZONE на стенде WB были настолько вкусные коктейли, что решила что-нибудь занести, чтобы попасть на их приватку. Промокод опять же надо использовать.

Меня очень просто заманить.

https://t.iss.one/wildberries_bugbounty/16 - отбор продлили до 29 августа.

Первый баг сданный в багбаунти.

Я работала AppSec-м. У нас подумывали открыть багбаунти программу (сделала презентацию, что может нам попробовать - ИБ призывно шевелил бровями) и я хотела посмотреть как процесс выглядит со стороны хакера и как вендора работают с отчетами. На платформе standoff365 я была уже зарегистрирована (на PHDays за регистрацию давали пиво). Так что мне оставалось выбрать вендоров и сдать баги. Это были Консоль и VK.

В VK я сдала в почту фигульку и мне очень подробно и хорошо обьяснили почему "try harder" - это информатив.

В Консоль я просто нашла сваггер и прошлась по всем методам. Сдала таким образом 3 бага и получила первое баунти. Хотя программа была открытой уже год.

Процесс был представлен в презентации (больше презентаций богу презентации), но баги искать в багбаунти понравилось, теперь это мое хобби.

Поделитесь у кого какая история первой уязвимости сданной в багбаунти или вообще первой найденной уязвимости?

Всем привет.

Запись моего доклада "GitLab + DefectDojo + AI: как я автоматизировала поиск багов в bug bounty" с OFFZONE.
https://vkvideo.ru/playlist/-172362100_17/video-172362100_456239233

Пока только на vk видео. Дополню как выложат на остальные.

Всем привет.

Около 3 лет я веду различные обучающие активности для команд разработки и особенно QA с целью появление в командах security чемпионов.

Короткие доклады с "Вау эффектом", мастер-классы, отдельные CTF задания с призами, статьи, короткие заметки, чек-листы, security понедельники. Не все из этого было эффективно, многое менялось или отмирало.
Сейчас перешли к очным форматам по блокам: доклад 1 час + решение лабы поствиггера вместе. 1 блок 3-4 занятия каждые 2 недели.

Лучшее за год и то что было понятнее всего слушателям (и где остался не 1 человек) - подаю доклад и очень часто это что-то из BAC или аутентификации. Так как забавных и странных примеров из багбаунти тоже накопилось, надеюсь будет интересно и начинающим багхантерам/специалистам ИБ - доклад "Broken access control через уязвимости бизнес-логики".

https://heisenbug.ru/talks/424941c1972c49568ccc85a4e62ebbf4/?referer=%2Fschedule%2Ftable%2F

Пока что самая проблемная часть моей автоматизации - это я.

Мне надо в ручную:
* Добавить в конфиг новую программу.
* Если это мобильное приложение, то разобраться на каком домене оно работает.
* Зарегистрировать пользователя.
* Потриажить отчеты.

Недавно добавили в приватку, где я это все сделала только на второй день и пошла триажить еще через день. Авто нашло очень много валидных багов, но за это время программа ушла в архив на паузу. Ленивая мушка не хочет летать, ленивый мальчишка не хочет читать, ленивый аппсек не хочет файндинги разбирать.

Надо уже быстрее доделывать стабильный триаж через AI. Хотя тогда придется сразу бежать заводить баг (а не всегда могу сразу и опять же лень). Подумываю завести отдельный аккаунт под AI, чтобы он сам заводил баги, но пока жалею сил триажеров. Все-таки я скринкаст пишу и галлюцинации отсекаю. Хотя мне кажется эксперимент будет интересный.

При этом автоматизация рекона очень помогает, когда я в ручную сажусь искать и работает он быстрее dast-ов.