В последнее время часто замечаю, что при n-попытке вызвать метод получается обойти проверки.

Например, метод позволяет парсить csv. По тексту ошибки определяешь что эта за библиотека и что она может работать со всеми excel форматами.

Пробуешь загрузить xlsx для тестирования XXE - получаешь ошибку "неподерживаемый формат файла". Пробуешь последовательно вызвать метод n-раз и проверка обходится.

Так как сервис тестируется блекбоксом, я могу только предполагать из-за чего возникает эта проблема. Возможно на определение типа файла реализован отдельный микросервис и в определенный момент он отдаешь ошибку. Метод загрузки файла не предусмотрел такой ответ и просто пропускает проверку.

Аналогично встречала при подтверждении email. На k-попытку проверку кода подтверждения получается обойти. Но при этом воспроизвести стабильно, чтобы собрать все данные и завести в багбаунти не получается. А пока я пытаюсь получить стабильную версию скрипта, баг обычно исправляют.

Заводите ли в бб плавающие баги?

Всем привет.

Прочитала статью https://habr.com/ru/articles/927672/ и особенно зацепилась

И различные разработчики периодически мне пытались доказать, что найденной мной проблемы якобы нет и им-то лучше знать как работает их код.

Тоже сталкивалась с таким в багбаунти у разных вендоров.

Варианты 1
Сдаешь уязвимость - ее исправляют, а потом приходят "нам разработчик сказал, что у нас так не работало" - держи дырку от бублика. Некоторые вендора принимают отчет и оценивают только после исправления бага и ответ о наличие и критичности уязвимости ждут от команды разработки.

Варианты 2
Все сданные баги пофиксили за 3 дня, потом через неделю пришел триаж и сказал "баг не воспроизводится" - отчет закрываем как информационный. В этот момент я ухожу лечить нервы и пить ромашковый чай.

Только настойчивость, помощь площадки в некоторых случаях и наличие пруфов (данные, скрины, операции), помогло добиться принятия этих багов. После таких случаев я стала писать видео на все, даже самые простые баги.

Могу только предположить почему так происходит:
* Любой баг сначала попадает команде разработки, а потом туда приходит ИБ
* Рассинхрон процессов ИБ и dev
* KPI на количество критичных дефектов - именно этим я обьясняю отрицание, попытку скрыть наличие дефекта и быстрый молчаливый фикс. Помню как в мою работу QA нам хотели ввести KPI на наличие дефектов на проде. Я правда уволилась раньше реализации этой инициативы и не знаю чем дело закончилось.
* Бас фактор. Может быть там уволились сотрудники и весь процесс сломался?

Можно было бы сказать, что команда не готова к бб. Но первые 3 месяца открытия бб программы - самые показательные, именно в них прилетают 90% отчетов и это время команде научится, отладить и поменять свои процессы. Такой же проблемой страдают даже старые багбаунти программы

Не буду говорить, про попытку сэкономить, так как речь про крупные вендора и иногда такие случаи происходят с багами за буквально 15к. Мне кажется тут не в этом дело.

Мой совет новичкам - обязательно собирайте все доказательства наличие уязвимости, пишите видео и детально описывайте его воспроизведение.

#bugbounty #appsec

Снова мемы багбаунти. Что-то много стало в последнее время.

Я напоминаю раз в месяц (отчет был принят после фикса и не оплачен).
Мне напоминают сделать ритест каждые 2 дня. Хотя уверена, что это автоматизация. Идея для бота, который будет отправлять 1 раз в неделю "Ну как там с деньгами?" во всем принятые, но не оплаченные отчеты.

Я уже морально в отпуске и на фесте (который кстати тоже называется ББ, совпадение? - не думаю). Поиск уязвимостей для скучных, грустных, дождливых осенних вечеров.

#bugbounty

Что ж начинается режим студенческий, когда за короткий срок надо сделать все-все выучить к экзамену, сделать курсовую и тд и тп.

* Приняли доклад на OFFZONE - 3 недели чтобы сделать презентацию
* Участвую в Bugs Zone, т е презентацию нужно сделать за 1.5 недели, чтобы заниматься только поиском багов
* Подала 2 заявки на pentest award и надо будет решить ехать или нет, если пройду в шорт лист (или вообще какой-нибудь лист)

Одновременно будут личные дела и поездки с палаткой надо тоже как-то уместить.

Спасибо вузу, что научил фигачить в сжатые сроки, совмещая с работой.

Попала в шорт лист Pentest Award в номинации «**ck the logic» с вектором атаки жулик не воруй "Денежная ловушка или эксплуатация BAC биллинга"

Теперь в список дел добавилась поездка в Москву.

Теория говнокода

Когда начинаешь поиск уязвимостей руками в режиме "посмотрю вечерком" в багбаунти - "что первым протестировать"?

Можно пойти не путем проверки стандартных фич и тестов, а предположить на какую фичу разработка потратили наименьшее количество времени.

Что же это за фичи:
* Фичи в режиме А/Б тестов, мвп - все что по задумке маркетологов собирается на коленке, что бы проверить реакцию пользователей и в случае успеха будет создаваться полноценно.
* Маркетинговые предложения, конкурсы, игры - все то что потребуется ограниченное число раз и не будет тестироваться.
* То где есть ограниченные сроки в режиме "мы не можем опоздать". Например, системы, которые затрагиваются новыми законами от государства - одной из таких является ЭДО, требования к которым периодически меняются.

Видишь в системе ЭДО (электронный документооборот) есть велика вероятность, что в нем будут баги.

Знакомый тимлид подсказала, что на проекты ЭДО всегда требуются люди - там большая текучка.

Награждение Pentest award закончилось. Интересно будет почитать отчеты призеров, надеюсь выложат - не все по краткому рассказу было понятно.

Больше всего понравились все призеры категории Web. XSS -> BAC -> получение кредов ssh из метаданных - это сильное сочетание.

Впечатлил @Russian_OSlNT который забрал все возможные награды в разных категориях и 3 медали за лучший отчет от разных членов жури.

Я никакого места не заняла, но одному из жури понравился мой отчет - дали медальку и bo0om сказал: "что-то слишком часто слышу ник SavAnna в последнее время - новенькие приобщается к тусовке".

Раннеры крутятся - баги мутятся. Расскажу про все свои эксперименты, костыли и что удалось получить в автоматизации багбаунти.

Узнаем способны ли сканеры находить баги в публичных багбаунти программах и как получать вознаграждения, попивая сок у себя на квартале.

В ходе исследования ни один триажер не пострадал.

https://offzone.moscow/program/gitlab-defectdojo-ai-how-i-automated-bug-hunting-in-bug-bounty/

Закончился первый день OFFZONE, начался второй.

Большое спасибо всем кто пришел на мой доклад "GitLab + DefectDojo + AI: как я автоматизировала поиск багов в bug bounty" и всем кто пишет инструменты и дает их сообществу.

В ходе эксперементов ни один триажер не пострадал - перед заведением багов я продолжаю смотреть и докручивать их.

После доклада я набралась идей как можно улучшить разбор файндингов и AI агента.

Прикрепляю презентацию - в ней есть небольшая опечатка, но раз уж назвался subfindre - будь им.

На OFFZONE на стенде WB были настолько вкусные коктейли, что решила что-нибудь занести, чтобы попасть на их приватку. Промокод опять же надо использовать.

Меня очень просто заманить.

https://t.iss.one/wildberries_bugbounty/16 - отбор продлили до 29 августа.

Первый баг сданный в багбаунти.

Я работала AppSec-м. У нас подумывали открыть багбаунти программу (сделала презентацию, что может нам попробовать - ИБ призывно шевелил бровями) и я хотела посмотреть как процесс выглядит со стороны хакера и как вендора работают с отчетами. На платформе standoff365 я была уже зарегистрирована (на PHDays за регистрацию давали пиво). Так что мне оставалось выбрать вендоров и сдать баги. Это были Консоль и VK.

В VK я сдала в почту фигульку и мне очень подробно и хорошо обьяснили почему "try harder" - это информатив.

В Консоль я просто нашла сваггер и прошлась по всем методам. Сдала таким образом 3 бага и получила первое баунти. Хотя программа была открытой уже год.

Процесс был представлен в презентации (больше презентаций богу презентации), но баги искать в багбаунти понравилось, теперь это мое хобби.

Поделитесь у кого какая история первой уязвимости сданной в багбаунти или вообще первой найденной уязвимости?

Всем привет.

Запись моего доклада "GitLab + DefectDojo + AI: как я автоматизировала поиск багов в bug bounty" с OFFZONE.
https://vkvideo.ru/playlist/-172362100_17/video-172362100_456239233

Пока только на vk видео. Дополню как выложат на остальные.

Всем привет.

Около 3 лет я веду различные обучающие активности для команд разработки и особенно QA с целью появление в командах security чемпионов.

Короткие доклады с "Вау эффектом", мастер-классы, отдельные CTF задания с призами, статьи, короткие заметки, чек-листы, security понедельники. Не все из этого было эффективно, многое менялось или отмирало.
Сейчас перешли к очным форматам по блокам: доклад 1 час + решение лабы поствиггера вместе. 1 блок 3-4 занятия каждые 2 недели.

Лучшее за год и то что было понятнее всего слушателям (и где остался не 1 человек) - подаю доклад и очень часто это что-то из BAC или аутентификации. Так как забавных и странных примеров из багбаунти тоже накопилось, надеюсь будет интересно и начинающим багхантерам/специалистам ИБ - доклад "Broken access control через уязвимости бизнес-логики".

https://heisenbug.ru/talks/424941c1972c49568ccc85a4e62ebbf4/?referer=%2Fschedule%2Ftable%2F

Пока что самая проблемная часть моей автоматизации - это я.

Мне надо в ручную:
* Добавить в конфиг новую программу.
* Если это мобильное приложение, то разобраться на каком домене оно работает.
* Зарегистрировать пользователя.
* Потриажить отчеты.

Недавно добавили в приватку, где я это все сделала только на второй день и пошла триажить еще через день. Авто нашло очень много валидных багов, но за это время программа ушла в архив на паузу. Ленивая мушка не хочет летать, ленивый мальчишка не хочет читать, ленивый аппсек не хочет файндинги разбирать.

Надо уже быстрее доделывать стабильный триаж через AI. Хотя тогда придется сразу бежать заводить баг (а не всегда могу сразу и опять же лень). Подумываю завести отдельный аккаунт под AI, чтобы он сам заводил баги, но пока жалею сил триажеров. Все-таки я скринкаст пишу и галлюцинации отсекаю. Хотя мне кажется эксперимент будет интересный.

При этом автоматизация рекона очень помогает, когда я в ручную сажусь искать и работает он быстрее dast-ов.

Личное != профессиональному.

Как вы думаете за что могут исключить из приватной программы багбаунти? Раньше я думала, что за вопиющее поведение: регулярное нарушение скоупа, хамство, спам, публичного оскорбления. В общем не адекватного поведения. Со стороны триажера тоже скажу, что даже если хамят, то остаешься в рамках деловой этики. Оцениваешь баг, а не человека.

Сейчас исключили меня - вендор был по многим пунктам очень проблемный, но так как тестировать их просто нравилось, то багов 20 им занесла, среди которых были критичные. И несмотря на все проблемы, занижения и "нам разработчик сказал после фикса, что такого не могло быть" - тестировать сервис мне нравилось и продолжала сдавать. Но вендор как-будто вообще не собирался меняться и я начала шутить, что меня лично они не любят.

Оказалось все так и шутка была не шуткой. Standoff365 сказал, что я вендору очень сильно не нравлюсь и обиделись за этот пост https://t.iss.one/standoff_365_chat/125209 и требуют standoff365 меня исключить из программы.

Я ни разу не хамила, ни раскрывала публично кто это, проставляла хедер, сдавала валидные баги и подавала их на арбитраж и вот оказалось "очень сильно лично не нравлюсь", а вместо фикса на критику можно обидеться в стиле "начинающего художника".

Мне очень не нравится позиция некоторых вендоров в стиле страуса "зарывания головы в песок". В условиях нехватки багхантеров - курс не на комьюнити. Позиция площадки тоже не близка, но у них руки связаны коммерцией и правилами.

Адекватность - главное в багбаунти программе.

Мне кажется, что самое главное - это не размер вилки выплат, скорость триажа, а адекватное отношение. От многих программ с низкой вилкой выплат осталось хорошее впечатление. С обоих сторон стоят люди, багхантеры тратят на исследование свое личное время и хотят честного, человеческого отношения.

В этом плане для меня VK - терапевтическая программа.
Лечит "израненную душу некоторыми багбаунти программами и долгими спорами".
Сдал уязвимость с уровнем "низкий", получил ее же. Без споров, долгих дискуссий, все понятно, адекватно и не очень долго. Единственный минус - зайти и посрывать высоко-рисковых "низко-висящих фруктов" не очень получается. Для меня - это игра в долгую, сидеть и разбираться в фичах. Выбрала 1 программу и переодически туда захожу лечить батхерты.

Так же единственная программа, которая повышала уровень, если я где-то недооценила и поставила меньше и платила больше чем рассчитывала.

Денежная ловушка или эксплуатация BAC биллинга

Кто-нибудь оплачивает свою корзину, не проверяя досконально каждый товар? Может быть у кого-нибудь родственники скидывают свою корзину?

История, когда сочетание простых багов, которые может найти каждый приводило к импакту кражи денег.

* IDOR
* Отсуствие проверки созданного инвойса с суммой заказа - можно создавать на любую сумму
* Связь инвойса с кошельком
* Возврат средств на кошелек при отмене тому кто создал инвойс, а не оплатил
* Создание ситуации, когда "жертва" всегда вынуждена отменить оплаченный заказ

https://habr.com/ru/articles/954312/

Как я создала аккаунт с именем «NULL» и мне стали приходить уведомления о покупке доменов другими пользователями

Продолжаю публиковать старые баги на habr. О нем уже говорила на канале - немного дописала.
https://habr.com/ru/articles/955134/

Взаимодействие с таймвебом у меня максимально простое. Ночью сдал баг. На следующий день принимают, еще через день начисляют выплаты. Почти "быстро деньги" от мира бб, но без негативной коннотации.

Так же советую делать ритесты уже старых багов, иногда они появляются снова через год после фикса и проверки. Стоит ли писать регресс автотесты старых принятых уязвимостей - возможно?

Розыгрыш 9 билетов на афтепати Bugs Zone 6

Всем привет, 7 ноября в Москве пройдет афтепати Bugs Zone 6.

Что будет:
* Доклады - некоторые бывают не под запись
* Возможность пообщаться с вендорами, другими багхантерами и обсудить секретики
* Мерч
* Пиво

Что для этого нужно сделать:
* Быть багхантером - иметь хотя бы 1 оплаченный отчет на любой из площадок или self hosted программ.
* Написать в этот тред любой забавный или странный момент из опыта багхантинга, какой-нибудь необычный баг или способ багхантинга, что-то чем хотелось бы поделится

Например - мои истории:
* Я переодически сдаю лоу-медиум баги - html injection в теле письма, просматривая спам-маркетинговые рассылки на багхантерских почтах.
* Один из первых простых багов за который бы мне заплатили деньги я не сдала и только потом узнала, что сдать было можно.
* Сломала данные своего банка и не получала зарплату 1 неделю (там было кривая дедубликация).
* Нашла race condition и списала за 1 товар 6 раз (а хотелось наоборот) и месяц воевала с саппортом, чтобы деньги вернули (и до сих пор пытаюсь вернуть).

Подробнее про мероприятие тут https://t.iss.one/bizone_bb/578

Итоги будут 1 ноября.