Forwarded from Standoff Bug Bounty Tips
Иногда веб-серверы по-разному обрабатывают спецсимволы (
;, ? и другие) в URL-адресах. Это может привести к web cache deception или проблемам с контролем доступа.👉 Вот как легко протестировать расхождения в разделителях пути:
1️⃣ Захватите запрос и отправьте в Intruder. Тип атаки Sniper (изменяется только одно место):
GET /my-account§§abc HTTP/2
Пример пэйлоада (полный список найдете здесь):
!
#
$
'
*
+
,
.
/
:
;
_
~
...
2️⃣ Запустите атаку и проанализируйте статусы, длину и ответы.
Ищите страницы большего/меньшего размера, изменения в коде состояния или различное поведение. Если заметили что-то необычное, скорее всего, вы нашли расхождение в разделителях 🤑
👉 Почему это важно?
Когда спецсимволы сбивают с толку сервер или кеш, вы можете обнаружить:
🔸 Web cache deception: случайное кеширование личных страниц
🔸 Обход доступа: пропуск проверок безопасности
🔸 Утечка информации: доступ к данным, которые вы не должны видеть
🔗 Попробуйте на практике в лабе PortSwigger
Уровень сложности: 🪲🪲
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥2❤1👏1
🔷 Проверьте свой роутер: Воспользуйтесь онлайн-сканером портов (например, 2ip.ru) или установите программу вроде nmap, чтобы проверить, какие порты открыты у вашего роутера.🔷 Обновите прошивку: Стоит убедиться, что установлена самая актуальная версия прошивки для роутера. Если производитель больше не выпускает обновления для вашей модели, возможно, пришло время задуматься о замене роутера на более современный.🔷 Настройте брандмауэр: Закройте все ненужные порты в настройках брандмауэра вашего роутера.🔷 Смените пароль по умолчанию: Обязательно смените пароль администратора роутера на сложный и уникальный.🔷 Регулярно проверяйте настройки: Периодически проверяйте настройки вашего роутера, чтобы убедиться, что все в порядке.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5👏2👨💻1
Хочу поделиться важной новостью, хотя и немного с опозданием! 📆 Не так давно я получил сертификат Certified Ethical Hacker (CEH).
Тема сертификации меня интересует уже достаточно давно. Во-первых, это обучение и оно неслабо подтягивает знания. Во-вторых, наличие сертификатов, таких как: CEH, OSCP, OSWE, зачастую требуют заказчики и работодатели. Хотя CEH и не является таким продвинутым, как, например, OSCP, он служит отличной отправной точкой для начинающих специалистов.
Теоретический экзамен включал в себя тестирование из 125 вопросов на английском языке. Самое сложное было понять индийский акцент своего проктора перед началом экзамена😅
В общем, начало положено. Дальше двигаюсь к сертификату OSCP
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12❤4👍3🐳1💯1🤓1👨💻1
Посетил с коллегой
Очень масштабное мероприятие. Огромное количество площадок со спекарми и всякой годнотой.
Удалось даже случайно встретить легенду в мире ИБ - Андрея Масаловича aka КиберДед. 😁
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7❤2🐳1🏆1👨💻1
Операция RapTor
В рамках международной операции под кодовым названием «Операция RapTor», направленной против продавцов и покупателей в даркнете, правоохранительные органы арестовали 270 человек из 10 стран.
Власти стран Европы, Южной Америки, Азии и США также сообщают об изъятии более 207 млн долларов наличными и в криптовалюте, более двух тонн наркотиков (включая амфетамины, кокаин, кетамин, опиоиды и каннабис) и более 180 единиц огнестрельного оружия.
«Международная операция правоохранительных органов, координируемая Европолом, нанесла серьезный удар по преступному подполью: в десяти странах арестованы 270 продавцов и покупателей даркнета, — сообщает Европол. — Операция RapTor привела к ликвидации сетей, занимающихся торговлей наркотиками, оружием и контрафактной продукцией, а также послужит четким сигналом для преступников, скрывающихся за мнимой анонимностью».
Используя оперативную информацию, собранную после захвата нескольких даркнет-маркетплейсов, включая Nemesis, Tor2Door, Bohemia и Kingdom Market.
Большинство подозреваемых были задержаны в США (130), Германии (42), Великобритании (37), Франции (29) и Южной Корее (19), а еще 13 человек — в Нидерландах, Австрии, Бразилии, Испании и Швейцарии.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3❤1👍1👨💻1😎1
🔐 Тихие баги, которые приносят деньги
Когда люди думают про багбаунти, они сразу представляют себе RCE или SQLi. Но большинство реально оплачиваемых находок — это тихие, но очень цепкие баги.
🧩 IDOR — в 80% случаев недооценён
Параметр user_id=1234? — Меняй. Всегда.
Параметр email, username, account_id, document_id, image_id, order_id? — Меняй.
Не важно, что нет ошибки. Даже если ответ — просто 403, это уже может быть проверка на backend’е, и баг проявляется в другом методе.
📩 Смена почты — недооценённый вектор
Смена email — это точка управления аккаунтом.
Если можно сменить почту без подтверждения старой, без токена, или даже просто через IDOR — ты управляешь чужим аккаунтом.
Плюс: после смены многие системы позволяют сбросить пароль через новый email → Account Takeover.
📲 Старые токены, сессии, коды — не всегда инвалидируются
Остаётся ли старая сессия после смены пароля?
Работает ли старый 2FA код дважды?
Можно ли активировать Magic Link/OTP несколько раз?
Если да — это уже повод накатать репорт.
📊 Что реально приносит деньги
IDOR + логика
Отсутствие подтверждения действий (email, 2FA, delete)
Логика доступа между ролями
Баги в API, особенно с PUT, PATCH, DELETE
🛠 Что проверять первым
Email change / password reset flow
Sharing/token-based доступы
Скачивание и просмотр чужих файлов
API с параметрами user/account/id
🧠 Важно: если endpoint скучный — это хорошо.
Скучные баги почти всегда живут дольше и оплачиваются лучше.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🔥2👍1
🎯 Сонастройка внутри команды — underrated суперсила
Каждое утро созваниваемся с командой. Говорим, кто чем занимается, что нашли, где залипли. Иногда просто делимся, как настроение, что бесит, что радует.
Был случай я вывалился из проекта — личные сложности, тяжело было собраться. Переживал, что торможу всех. Поделился этим на созвоне. И сразу стало легче. Просто потому что никто не осудил, все поняли.
В тот момент прям почувствовал, зачем всё это.
📡 Сонастройка с командой — это не формальность, а поддержка, которая реально работает.
Не нужно держать всё в себе или делать вид, что "всё ок".
Раньше относился к таким встречам скептически — странная штука, не моё. Сейчас понимаю — они и держат.
Не только по задачам, но и по людям.
🤝 Лучше десять минут живого разговора, чем день в тишине с кучей лишних мыслей в голове.
Каждое утро созваниваемся с командой. Говорим, кто чем занимается, что нашли, где залипли. Иногда просто делимся, как настроение, что бесит, что радует.
Был случай я вывалился из проекта — личные сложности, тяжело было собраться. Переживал, что торможу всех. Поделился этим на созвоне. И сразу стало легче. Просто потому что никто не осудил, все поняли.
В тот момент прям почувствовал, зачем всё это.
📡 Сонастройка с командой — это не формальность, а поддержка, которая реально работает.
Не нужно держать всё в себе или делать вид, что "всё ок".
Раньше относился к таким встречам скептически — странная штука, не моё. Сейчас понимаю — они и держат.
Не только по задачам, но и по людям.
🤝 Лучше десять минут живого разговора, чем день в тишине с кучей лишних мыслей в голове.
🔥5🙏2🤝2❤1
🧪 Что из этого может привести к полноценному RCE?
Anonymous Quiz
80%
Форма загрузки изображений, но без проверки содержимого
16%
JSON endpoint, который возвращает данные без Content-Type
0%
Комментарий в HTML: <!-- TODO: remove admin panel -->
4%
Страница логина без X-Frame-Options хедера
В мае 2025 года произошёл инцидент, который заставил многих задуматься о безопасности своих контактов. Неизвестный злоумышленник, используя технологии искусственного интеллекта, клонировал голос главы администрации Белого дома Сьюзи Уайлс и рассылал сообщения с просьбами о переводе денег и составлении списков на помилование. Некоторые получатели даже начали выполнять эти просьбы, прежде чем заподозрили неладное .
Этот случай подчёркивает, насколько убедительными могут быть современные фишинговые атаки, особенно когда они подкреплены технологией deepfake. Если раньше мы опасались писем от "наследных принцев", то теперь стоит быть настороже даже при получении сообщений от знакомых голосов.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5❤1👏1🤓1👨💻1
Какой метод сканирования покажет скрытые параметры в JS?
Anonymous Quiz
44%
nuclei
4%
subfinder
40%
linkfinder
12%
dnsx
❤3
Какой заголовок стоит подставить для проверки CORS?
Anonymous Quiz
8%
X-Requested-With: XMLHttpRequest
65%
Origin: evil.com
4%
Referer: evil.com
23%
X-Forwarded-For: evil.com
❤4
📦 Открытый Swagger — находка на каждом втором проекте
Очень часто на проектах попадается открытая Swagger-документация (/swagger, /api-docs, /v2/api-docs, /swagger-ui.html). Это — огромный риск
🧠 Что раскрывает Swagger:
Полный список всех API-эндпоинтов, включая приватные.
Методы (GET, POST, PUT, DELETE) — можно сразу тестить бизнес-логику.
Все параметры и структура запроса, включая тела, вложенные поля, типы.
Иногда — автоматически подставленный токен (в UI авторизации).
Возможность выполнять запросы прямо из браузера без доп. инструментов.
⚠️ Чем это опасно:
Быстрый поиск уязвимостей типа IDOR, Auth Bypass, PUT/DELETE без auth.
Выявление админских методов, внутренних API, незадокументированных фич.
Утечка токенов или ключей прямо в UI (особенно в dev/stage окружениях).
Автоматизация через nuclei — можно отсканировать тысячи доменов на наличие Swagger за минуты.
✅ Что должен сделать защитник:
❌ Удалить Swagger из production-окружения.
🔐 Закрыть его auth'ом и доступом только по VPN или IP whitelist.
🌍 Проверить, не открыт ли staging/dev (обычно там Swagger открыт по умолчанию).
🔎 Прогнать свои домены nuclei -tags panel -severity low,medium.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3❤2🔥1👨💻1
JavaScript как источник информации при пентесте
Клиентские JS-файлы часто содержат технические детали, полезные для разведки и подготовки атаки. В них можно найти:
➖ Секреты и токены (api_key, auth_token, client_secret)
➖ Эндпоинты API, включая скрытые (/internal, /admin, /debug)
➖ Флаги функциональности (isAdmin=true, betaMode=1)
➖ Ссылки на инфраструктуру (s3, gcs, azureblob)
Цели анализа:
1️⃣ Составить карту запросов и эндпоинтов
— пригодится для обхода авторизации, IDOR, SSRF
2️⃣ Найти прямые ссылки на внутренние ресурсы
— панели администрирования, dev-инфраструктура, сторедж
3️⃣ Выявить скрытые параметры
— например, debug=true, admin_override, X-Access-Level
Мини-сценарий для пентеста:
Практическое применение:
➡️ Найденный токен — использовать с curl, Postman или через AWS CLI
➡️ Флаг debug=true может активировать уязвимую функциональность
➡️ Неизвестный endpoint — потенциальная точка входа для LFI, IDOR или SSRF
Клиентские JS-файлы часто содержат технические детали, полезные для разведки и подготовки атаки. В них можно найти:
Цели анализа:
1️⃣ Составить карту запросов и эндпоинтов
— пригодится для обхода авторизации, IDOR, SSRF
2️⃣ Найти прямые ссылки на внутренние ресурсы
— панели администрирования, dev-инфраструктура, сторедж
3️⃣ Выявить скрытые параметры
— например, debug=true, admin_override, X-Access-Level
Инструменты:
LinkFinder — извлечение путей из JS
SecretFinder — поиск токенов и ключей
subjs — сбор всех JS-файлов с сайта
Мини-сценарий для пентеста:
subfinder -d internal.target.com -silent | httpx -match-js -paths / -o js_hosts.txt
cat js_hosts.txt | subJS | tee js_urls.txt
cat js_urls.txt | LinkFinder.py -i stdin -o cli > endpoints.txt
cat js_urls.txt | SecretFinder.py -i stdin -o cli > secrets.txt
Практическое применение:
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5👍3❤2🥰1👏1🤓1🤝1
.git - директория как источник информации при пентесте
Если .git/ директория доступна снаружи, это один из самых опасных векторов: с её помощью можно восстановить структуру проекта и получить чувствительные данные.
➖ Структура репозитория (архитектура, пути, названия компонентов)
➖ История изменений с возможными утечками токенов
➖ Конфиги и ключи из прошлого (.env, .pem, config.php)
➖ Доступ к приватным Git-сервисам (через config, remote)
Цели анализа:
1️⃣ Восстановить исходный код проекта
— анализ логики, уязвимостей, жестко заданных секретов
2️⃣ Найти приватные ключи, токены, логи
— которые были случайно закоммичены и затем удалены
3️⃣ Идентифицировать точки подключения к CI/CD, облаку
— через .git/config, .gitmodules, .env
4️⃣ Обойти .gitignore и восстановить удалённые файлы
— если файл исключён из коммитов, но был в истории — его можно восстановить
Мини-сценарий для пентеста:
Практическое применение:
➡️ Извлечённый .env может содержать DB-пароли, API-ключи, SMTP/Slack/Webhook данные
➡️ Анализ git log покажет уязвимые коммиты и забытые файлы
➡️ Из config можно получить приватный git remote с доступом через SSH
➡️ Используя git log -- <filename> можно восстановить удалённый или заигноренный файл
Если .git/ директория доступна снаружи, это один из самых опасных векторов: с её помощью можно восстановить структуру проекта и получить чувствительные данные.
➖ Структура репозитория (архитектура, пути, названия компонентов)
➖ История изменений с возможными утечками токенов
➖ Конфиги и ключи из прошлого (.env, .pem, config.php)
➖ Доступ к приватным Git-сервисам (через config, remote)
Цели анализа:
1️⃣ Восстановить исходный код проекта
— анализ логики, уязвимостей, жестко заданных секретов
2️⃣ Найти приватные ключи, токены, логи
— которые были случайно закоммичены и затем удалены
3️⃣ Идентифицировать точки подключения к CI/CD, облаку
— через .git/config, .gitmodules, .env
4️⃣ Обойти .gitignore и восстановить удалённые файлы
— если файл исключён из коммитов, но был в истории — его можно восстановить
Инструменты:
git-dumper — скачивает и собирает .git в локальный репозиторий
GitTools — модульный набор: finder, extractor, dumper
wget/curl — для ручной загрузки .git файлов при ограничениях
Мини-сценарий для пентеста:
git-dumper https://target.com/.git/ ./recovered_repo
cd recovered_repo
git log --oneline
git show <commit_id>
Практическое применение:
➡️ Извлечённый .env может содержать DB-пароли, API-ключи, SMTP/Slack/Webhook данные
➡️ Анализ git log покажет уязвимые коммиты и забытые файлы
➡️ Из config можно получить приватный git remote с доступом через SSH
➡️ Используя git log -- <filename> можно восстановить удалённый или заигноренный файл
🔥6👨💻2👍1
У вас есть доступ к https://target.com/.git/. Какой файл в первую очередь поможет восстановить структуру репозитория?
Anonymous Quiz
22%
.git/config
30%
.git/index
35%
.git/HEAD
13%
.git/refs/heads/master