Попала в шорт лист Pentest Award в номинации «**ck the logic» с вектором атаки жулик не воруй "Денежная ловушка или эксплуатация BAC биллинга"

Теперь в список дел добавилась поездка в Москву.

Теория говнокода

Когда начинаешь поиск уязвимостей руками в режиме "посмотрю вечерком" в багбаунти - "что первым протестировать"?

Можно пойти не путем проверки стандартных фич и тестов, а предположить на какую фичу разработка потратили наименьшее количество времени.

Что же это за фичи:
* Фичи в режиме А/Б тестов, мвп - все что по задумке маркетологов собирается на коленке, что бы проверить реакцию пользователей и в случае успеха будет создаваться полноценно.
* Маркетинговые предложения, конкурсы, игры - все то что потребуется ограниченное число раз и не будет тестироваться.
* То где есть ограниченные сроки в режиме "мы не можем опоздать". Например, системы, которые затрагиваются новыми законами от государства - одной из таких является ЭДО, требования к которым периодически меняются.

Видишь в системе ЭДО (электронный документооборот) есть велика вероятность, что в нем будут баги.

Знакомый тимлид подсказала, что на проекты ЭДО всегда требуются люди - там большая текучка.

Награждение Pentest award закончилось. Интересно будет почитать отчеты призеров, надеюсь выложат - не все по краткому рассказу было понятно.

Больше всего понравились все призеры категории Web. XSS -> BAC -> получение кредов ssh из метаданных - это сильное сочетание.

Впечатлил @Russian_OSlNT который забрал все возможные награды в разных категориях и 3 медали за лучший отчет от разных членов жури.

Я никакого места не заняла, но одному из жури понравился мой отчет - дали медальку и bo0om сказал: "что-то слишком часто слышу ник SavAnna в последнее время - новенькие приобщается к тусовке".

Раннеры крутятся - баги мутятся. Расскажу про все свои эксперименты, костыли и что удалось получить в автоматизации багбаунти.

Узнаем способны ли сканеры находить баги в публичных багбаунти программах и как получать вознаграждения, попивая сок у себя на квартале.

В ходе исследования ни один триажер не пострадал.

https://offzone.moscow/program/gitlab-defectdojo-ai-how-i-automated-bug-hunting-in-bug-bounty/

Закончился первый день OFFZONE, начался второй.

Большое спасибо всем кто пришел на мой доклад "GitLab + DefectDojo + AI: как я автоматизировала поиск багов в bug bounty" и всем кто пишет инструменты и дает их сообществу.

В ходе эксперементов ни один триажер не пострадал - перед заведением багов я продолжаю смотреть и докручивать их.

После доклада я набралась идей как можно улучшить разбор файндингов и AI агента.

Прикрепляю презентацию - в ней есть небольшая опечатка, но раз уж назвался subfindre - будь им.

На OFFZONE на стенде WB были настолько вкусные коктейли, что решила что-нибудь занести, чтобы попасть на их приватку. Промокод опять же надо использовать.

Меня очень просто заманить.

https://t.iss.one/wildberries_bugbounty/16 - отбор продлили до 29 августа.

Первый баг сданный в багбаунти.

Я работала AppSec-м. У нас подумывали открыть багбаунти программу (сделала презентацию, что может нам попробовать - ИБ призывно шевелил бровями) и я хотела посмотреть как процесс выглядит со стороны хакера и как вендора работают с отчетами. На платформе standoff365 я была уже зарегистрирована (на PHDays за регистрацию давали пиво). Так что мне оставалось выбрать вендоров и сдать баги. Это были Консоль и VK.

В VK я сдала в почту фигульку и мне очень подробно и хорошо обьяснили почему "try harder" - это информатив.

В Консоль я просто нашла сваггер и прошлась по всем методам. Сдала таким образом 3 бага и получила первое баунти. Хотя программа была открытой уже год.

Процесс был представлен в презентации (больше презентаций богу презентации), но баги искать в багбаунти понравилось, теперь это мое хобби.

Поделитесь у кого какая история первой уязвимости сданной в багбаунти или вообще первой найденной уязвимости?

Всем привет.

Запись моего доклада "GitLab + DefectDojo + AI: как я автоматизировала поиск багов в bug bounty" с OFFZONE.
https://vkvideo.ru/playlist/-172362100_17/video-172362100_456239233

Пока только на vk видео. Дополню как выложат на остальные.

Всем привет.

Около 3 лет я веду различные обучающие активности для команд разработки и особенно QA с целью появление в командах security чемпионов.

Короткие доклады с "Вау эффектом", мастер-классы, отдельные CTF задания с призами, статьи, короткие заметки, чек-листы, security понедельники. Не все из этого было эффективно, многое менялось или отмирало.
Сейчас перешли к очным форматам по блокам: доклад 1 час + решение лабы поствиггера вместе. 1 блок 3-4 занятия каждые 2 недели.

Лучшее за год и то что было понятнее всего слушателям (и где остался не 1 человек) - подаю доклад и очень часто это что-то из BAC или аутентификации. Так как забавных и странных примеров из багбаунти тоже накопилось, надеюсь будет интересно и начинающим багхантерам/специалистам ИБ - доклад "Broken access control через уязвимости бизнес-логики".

https://heisenbug.ru/talks/424941c1972c49568ccc85a4e62ebbf4/?referer=%2Fschedule%2Ftable%2F

Пока что самая проблемная часть моей автоматизации - это я.

Мне надо в ручную:
* Добавить в конфиг новую программу.
* Если это мобильное приложение, то разобраться на каком домене оно работает.
* Зарегистрировать пользователя.
* Потриажить отчеты.

Недавно добавили в приватку, где я это все сделала только на второй день и пошла триажить еще через день. Авто нашло очень много валидных багов, но за это время программа ушла в архив на паузу. Ленивая мушка не хочет летать, ленивый мальчишка не хочет читать, ленивый аппсек не хочет файндинги разбирать.

Надо уже быстрее доделывать стабильный триаж через AI. Хотя тогда придется сразу бежать заводить баг (а не всегда могу сразу и опять же лень). Подумываю завести отдельный аккаунт под AI, чтобы он сам заводил баги, но пока жалею сил триажеров. Все-таки я скринкаст пишу и галлюцинации отсекаю. Хотя мне кажется эксперимент будет интересный.

При этом автоматизация рекона очень помогает, когда я в ручную сажусь искать и работает он быстрее dast-ов.

Личное != профессиональному.

Как вы думаете за что могут исключить из приватной программы багбаунти? Раньше я думала, что за вопиющее поведение: регулярное нарушение скоупа, хамство, спам, публичного оскорбления. В общем не адекватного поведения. Со стороны триажера тоже скажу, что даже если хамят, то остаешься в рамках деловой этики. Оцениваешь баг, а не человека.

Сейчас исключили меня - вендор был по многим пунктам очень проблемный, но так как тестировать их просто нравилось, то багов 20 им занесла, среди которых были критичные. И несмотря на все проблемы, занижения и "нам разработчик сказал после фикса, что такого не могло быть" - тестировать сервис мне нравилось и продолжала сдавать. Но вендор как-будто вообще не собирался меняться и я начала шутить, что меня лично они не любят.

Оказалось все так и шутка была не шуткой. Standoff365 сказал, что я вендору очень сильно не нравлюсь и обиделись за этот пост https://t.iss.one/standoff_365_chat/125209 и требуют standoff365 меня исключить из программы.

Я ни разу не хамила, ни раскрывала публично кто это, проставляла хедер, сдавала валидные баги и подавала их на арбитраж и вот оказалось "очень сильно лично не нравлюсь", а вместо фикса на критику можно обидеться в стиле "начинающего художника".

Мне очень не нравится позиция некоторых вендоров в стиле страуса "зарывания головы в песок". В условиях нехватки багхантеров - курс не на комьюнити. Позиция площадки тоже не близка, но у них руки связаны коммерцией и правилами.

Адекватность - главное в багбаунти программе.

Мне кажется, что самое главное - это не размер вилки выплат, скорость триажа, а адекватное отношение. От многих программ с низкой вилкой выплат осталось хорошее впечатление. С обоих сторон стоят люди, багхантеры тратят на исследование свое личное время и хотят честного, человеческого отношения.

В этом плане для меня VK - терапевтическая программа.
Лечит "израненную душу некоторыми багбаунти программами и долгими спорами".
Сдал уязвимость с уровнем "низкий", получил ее же. Без споров, долгих дискуссий, все понятно, адекватно и не очень долго. Единственный минус - зайти и посрывать высоко-рисковых "низко-висящих фруктов" не очень получается. Для меня - это игра в долгую, сидеть и разбираться в фичах. Выбрала 1 программу и переодически туда захожу лечить батхерты.

Так же единственная программа, которая повышала уровень, если я где-то недооценила и поставила меньше и платила больше чем рассчитывала.

Денежная ловушка или эксплуатация BAC биллинга

Кто-нибудь оплачивает свою корзину, не проверяя досконально каждый товар? Может быть у кого-нибудь родственники скидывают свою корзину?

История, когда сочетание простых багов, которые может найти каждый приводило к импакту кражи денег.

* IDOR
* Отсуствие проверки созданного инвойса с суммой заказа - можно создавать на любую сумму
* Связь инвойса с кошельком
* Возврат средств на кошелек при отмене тому кто создал инвойс, а не оплатил
* Создание ситуации, когда "жертва" всегда вынуждена отменить оплаченный заказ

https://habr.com/ru/articles/954312/

Как я создала аккаунт с именем «NULL» и мне стали приходить уведомления о покупке доменов другими пользователями

Продолжаю публиковать старые баги на habr. О нем уже говорила на канале - немного дописала.
https://habr.com/ru/articles/955134/

Взаимодействие с таймвебом у меня максимально простое. Ночью сдал баг. На следующий день принимают, еще через день начисляют выплаты. Почти "быстро деньги" от мира бб, но без негативной коннотации.

Так же советую делать ритесты уже старых багов, иногда они появляются снова через год после фикса и проверки. Стоит ли писать регресс автотесты старых принятых уязвимостей - возможно?

Розыгрыш 9 билетов на афтепати Bugs Zone 6

Всем привет, 7 ноября в Москве пройдет афтепати Bugs Zone 6.

Что будет:
* Доклады - некоторые бывают не под запись
* Возможность пообщаться с вендорами, другими багхантерами и обсудить секретики
* Мерч
* Пиво

Что для этого нужно сделать:
* Быть багхантером - иметь хотя бы 1 оплаченный отчет на любой из площадок или self hosted программ.
* Написать в этот тред любой забавный или странный момент из опыта багхантинга, какой-нибудь необычный баг или способ багхантинга, что-то чем хотелось бы поделится

Например - мои истории:
* Я переодически сдаю лоу-медиум баги - html injection в теле письма, просматривая спам-маркетинговые рассылки на багхантерских почтах.
* Один из первых простых багов за который бы мне заплатили деньги я не сдала и только потом узнала, что сдать было можно.
* Сломала данные своего банка и не получала зарплату 1 неделю (там было кривая дедубликация).
* Нашла race condition и списала за 1 товар 6 раз (а хотелось наоборот) и месяц воевала с саппортом, чтобы деньги вернули (и до сих пор пытаюсь вернуть).

Подробнее про мероприятие тут https://t.iss.one/bizone_bb/578

Итоги будут 1 ноября.

Самые приятные нотификации -
"Мы воспроизвели баг и проблему подтверждаем".

Ура что-ли, хотя пока не увижу финальное решение, все еще кажется что что-то может поменяться: дубль откопают, исправлять передумают.

С началом багхантинга меня у яндекса.

Презентация и чек-лист с Heisenbug 2025 - "Broken access control через уязвимости бизнес-логики"

В недавно опубликованном OWASP Top Ten 2025 Broken access control все еще занимает первое место. Среди моих багов, принятых в багбаунти, наверное половина на этот тип уязвимости.

Начинающим багхантерам, QA и тем кто еще только думает припасть к ИБ на заметку.

https://github.com/VasilyevaAn/bac-business-logic-checklist