Forwarded from Standoff Bug Bounty Tips
🚀 Простые, но действенные методы разведки для багхантера
В разведке работает простой принцип: чем глубже и качественнее вы ее проведете, тем больше шансов найти уникальные баги.
Почему разведка важна? Дело в том, что каждое веб-приложение по-своему уникально, поэтому подход «в лоб» вряд ли сработает. Мы собрали несколько недооцененных методов, которые можно использовать прямо сейчас и получить профит. При подготовке поста частично использованы материалы статьи Intigriti.
1️⃣ Использование таргетированных словарей для брута неиспользуемых и скрытых хостов, эндпойнтов API, роутов приложения или входных параметров
Собирать словарь под проект может быть важно, потому что каждый разработчик пишет код и называет эндпойнты в своем стиле. У кого-то может быть
➡️ Алгоритм простой:
• Собираем все домены, пути и параметры с помощью любимых инструментов (katana, URLFinder, waybackurls, LinkFinder, gau) и/или Burp Suite, сохраняем в файл.
• Используем unfurl для парсинга уникальных ключевых данных из stdin:
• Анализируем результат и обогащаем другими данными.
💡 CeWL также поможет спарсить ключевые слова с целевого ресурса для составления кастомного словаря.
2️⃣ Фаззинг API с использованием различных методов HTTP
Некоторые приложения принимают только определенные HTTP-методы, да и описание API не всегда под рукой. Упростите себе жизнь с помощью следующей команды:
3️⃣ Сканирование с различными заголовками User-Agent
При сканировании или перехвате запросов используйте User-Agent, специфичный для мобильных устройств, а также попытайтесь обнаружить различия в ответах сервера и скрытые фичи приложения. Настроить прокси в Burp сможет даже новичок. В качестве альтернативы можно использовать gospider:
4️⃣ Использование хешей фавиконов для поиска связанных активов
Если ваша цель — небольшая компания, у нее может не быть зарезервированного пула IP-адресов или она регулярно развертывает приложения в облачных сервисах. В этом случае мы все равно можем идентифицировать хосты, которые принадлежат цели, используя хеш фавикона:
• Получаем хеш из URL с помощью Favicon hash generator.
• Используем Shodan для поиска по хешу:
5️⃣ Поиск устаревших версий JavaScript-файлов
Анализируя интересный JS-файл, всегда просматривайте любые ранее заархивированные версии этого файла с помощью Wayback Machine или CLI-инструментов.
6️⃣ Мониторинг JavaScript-файлов
Если не хотите получить дубликат, отслеживайте изменения в JS-файлах и ищите баги в новом функционале первым. Вам помогут JSMon, Notify и другие инструменты.
7️⃣ Обнаружение скрытых параметров
Скрытые параметры могут позволить управлять поведением приложения и привести к успешной реализации различных сценариев атак. Для выполнения этой задачи помогут: Arjun, ParamSpider, Param-Miner, x8, ParamPamPam.
В разведке работает простой принцип: чем глубже и качественнее вы ее проведете, тем больше шансов найти уникальные баги.
Почему разведка важна? Дело в том, что каждое веб-приложение по-своему уникально, поэтому подход «в лоб» вряд ли сработает. Мы собрали несколько недооцененных методов, которые можно использовать прямо сейчас и получить профит. При подготовке поста частично использованы материалы статьи Intigriti.
1️⃣ Использование таргетированных словарей для брута неиспользуемых и скрытых хостов, эндпойнтов API, роутов приложения или входных параметров
Собирать словарь под проект может быть важно, потому что каждый разработчик пишет код и называет эндпойнты в своем стиле. У кого-то может быть
/users, а у кого-то /show-all-users. Первый путь встретишь в любом словаре, а вот второй — нет. Однако он может встретиться в ходе разведки.➡️ Алгоритм простой:
• Собираем все домены, пути и параметры с помощью любимых инструментов (katana, URLFinder, waybackurls, LinkFinder, gau) и/или Burp Suite, сохраняем в файл.
• Используем unfurl для парсинга уникальных ключевых данных из stdin:
$ cat urls.txt | unfurl paths
/users
/orgs
/about
• Анализируем результат и обогащаем другими данными.
💡 CeWL также поможет спарсить ключевые слова с целевого ресурса для составления кастомного словаря.
2️⃣ Фаззинг API с использованием различных методов HTTP
Некоторые приложения принимают только определенные HTTP-методы, да и описание API не всегда под рукой. Упростите себе жизнь с помощью следующей команды:
$ ffuf -u https://api.example.com/PATH -X METHOD -w /path/to/wordlist:PATH -w /path/to/http_methods:METHOD
3️⃣ Сканирование с различными заголовками User-Agent
При сканировании или перехвате запросов используйте User-Agent, специфичный для мобильных устройств, а также попытайтесь обнаружить различия в ответах сервера и скрытые фичи приложения. Настроить прокси в Burp сможет даже новичок. В качестве альтернативы можно использовать gospider:
gospider -s "https://app.example.com" -c 3 --depth 3 --no-redirect --user-agent "Mozilla/5.0 (iPhone; CPU iPhone OS 15_1_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/15.0 EdgiOS/46.3.30 Mobile/15E148 Safari/605.1.15" -0 mobile_endpoints. txt
4️⃣ Использование хешей фавиконов для поиска связанных активов
Если ваша цель — небольшая компания, у нее может не быть зарезервированного пула IP-адресов или она регулярно развертывает приложения в облачных сервисах. В этом случае мы все равно можем идентифицировать хосты, которые принадлежат цели, используя хеш фавикона:
• Получаем хеш из URL с помощью Favicon hash generator.
• Используем Shodan для поиска по хешу:
http.favicon.hash:<hash>
5️⃣ Поиск устаревших версий JavaScript-файлов
Анализируя интересный JS-файл, всегда просматривайте любые ранее заархивированные версии этого файла с помощью Wayback Machine или CLI-инструментов.
6️⃣ Мониторинг JavaScript-файлов
Если не хотите получить дубликат, отслеживайте изменения в JS-файлах и ищите баги в новом функционале первым. Вам помогут JSMon, Notify и другие инструменты.
7️⃣ Обнаружение скрытых параметров
Скрытые параметры могут позволить управлять поведением приложения и привести к успешной реализации различных сценариев атак. Для выполнения этой задачи помогут: Arjun, ParamSpider, Param-Miner, x8, ParamPamPam.
❤3👍2🔥2🤓1
Получив первоначальный доступ к целевой системе, найтя список хэшированных паролей.
Какой из следующих инструментов НЕ будет полезен для взлома хэшированных паролей?
Какой из следующих инструментов НЕ будет полезен для взлома хэшированных паролей?
Anonymous Quiz
0%
Hashcat
88%
netcat
13%
John the Ripper
0%
THC-Hydra
❤3🔥1
Какая из перечисленных ниже технологий взлома Bluetooth относится к краже информации с беспроводного устройства через Bluetooth?
Anonymous Quiz
6%
Bluebugging
6%
Bluesmacking
44%
Bluejacking
44%
Bluesnarfing
❤2👍1
КЦД - фундамент ИБ (не миф, а база)⚡️
Мир держится на трех слонах, а в информационной безопасности эти три слона - КЦД (конфиденциальность, целостность, доступность).
В инциденте, недавно произошедшем в Москве, явным образом показано, что отсутствие доступности, как критерия, влияет на безопасность. Отсутствие доступа к домофонам вынуждает людей искать обходные пути, компрометируя безопасность подъездов и квартир. Родители могут не успеть добраться до детей, дети - домой из школы. Кто-то мог забыть выключить утюг или газ. Такая задержка, вызванная нарушением фактической доступности, порождает серьезные риски нанесения ущерба и безопасности в целом. Обеспечение состояния защищенности всей системы возможно, только при обеспечении всех трех критериев - Конфиденциальности, Целостности и Доступности!♻️
Мир держится на трех слонах, а в информационной безопасности эти три слона - КЦД (конфиденциальность, целостность, доступность).
КЦД — это фундаментальные принципы информационной безопасности, определяющие защищенность данных и систем от несанкционированного доступа, изменений и потерь доступа.
В инциденте, недавно произошедшем в Москве, явным образом показано, что отсутствие доступности, как критерия, влияет на безопасность. Отсутствие доступа к домофонам вынуждает людей искать обходные пути, компрометируя безопасность подъездов и квартир. Родители могут не успеть добраться до детей, дети - домой из школы. Кто-то мог забыть выключить утюг или газ. Такая задержка, вызванная нарушением фактической доступности, порождает серьезные риски нанесения ущерба и безопасности в целом. Обеспечение состояния защищенности всей системы возможно, только при обеспечении всех трех критериев - Конфиденциальности, Целостности и Доступности!♻️
Please open Telegram to view this post
VIEW IN TELEGRAM
Москвич Mag
Тысячи москвичей не могут попасть в свои квартиры из-за масштабной DDoS-атаки
Жители домов, подключенных к провайдеру Lovit, не могут зайти в свои подъезды из-за неработающих домофонов. Причиной этому стала крупная DDoS-атака, начавшаяся еще накануне утром. С проблемой столкнулись москвичи, пользующиеся мобильным приложением для доступа…
🔥4❤2
Какой из следующих элементов НЕ является примером нарушения конфиденциальности?
Anonymous Quiz
17%
Утечка базы данных клиентов
83%
Подмена данных на сайте компании
0%
Прослушивание телефонных разговоров
0%
Несанкционированный доступ к электронной почте
Какие бывают хакеры и причем здесь шляпы! 🎩
Сегодня имел возможность пообщаться с человеком, который с"темной стороны" перешел на светлую и очень успешно занимается кибербезопасностью. Хочу немного поделиться информацией о хакерах и каких видов они бывают. Не будет никаких технических деталей, исключительно общеобразовательная информацияℹ️
➖➖➖➖➖➖➖➖➖➖
Мир кибербезопасности – это не только сложные технологии, но и люди, которые их используют. В мире кибербезопасности говорят о хакерах, но часто непонятно, чем они занимаются и какие у них цели. Чтобы разобраться, используют простую аналогию: “белые, черные и серые шляпы”. Эта метафора пришла из старых вестернов, где хорошие парни носили белые шляпы, а плохие – черные.
⤵️
Сегодня имел возможность пообщаться с человеком, который с
➖➖➖➖➖➖➖➖➖➖
Мир кибербезопасности – это не только сложные технологии, но и люди, которые их используют. В мире кибербезопасности говорят о хакерах, но часто непонятно, чем они занимаются и какие у них цели. Чтобы разобраться, используют простую аналогию: “белые, черные и серые шляпы”. Эта метафора пришла из старых вестернов, где хорошие парни носили белые шляпы, а плохие – черные.
Белые шляпы (White Hats) – Защитники киберпространства: Это этичные хакеры, пентестеры и исследователи безопасности. Они используют свои навыки для поиска уязвимостей в системах и помогают компаниям их устранить, делая мир безопаснее. Часто работают в консалтинговых компаниях или отделах безопасности.🛡
Черные шляпы (Black Hats) – Цифровые злодеи: Их цель – получение личной выгоды путем взлома систем, кражи данных, распространения вирусов и других киберпреступлений. Это криминальные хакеры, чьи действия преследуются законом.😡
Серые шляпы (Gray Hats) – Между добром и злом: Они могут находить уязвимости без разрешения, но не всегда используют их в злонамеренных целях. Могут сообщить о находке компании (иногда за вознаграждение), а могут и просто опубликовать информацию. Мотивация разная, действия – спорные.🤨
Скрипт-кидди (Script Kiddies) – Подражатели: Новички, которые используют готовые инструменты для взлома, не понимая, как они работают. Обычно не очень опасны, но могут создавать много шума.👶
Хактивисты (Hacktivists) – Идейные борцы: Используют хакерские навыки для выражения политических или социальных взглядов, например, взламывая сайты правительств или корпораций в знак протеста.🤨
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤2🔥1
Вчера наткнулся на историю, от которой мысли не укладываются в голове! Я не мог не поделиться, тем более что она напрямую касается ИБ.
24 марта редактор издания The Atlantic сообщил, что случайно оказался добавлен в групповой чат в мессенджере Signal, где шло обсуждение предстоящих ударов по Йемену 15 марта . 11 марта он получил «запрос на подключение в Signal от пользователя, назвавшегося [советником президента США по национальной безопасности] Майклом Уолтцем», а два дня спустя был добавлен в чат под названием Houthi PC small group. При этом журналист уточнил, что посчитал это необычным, и предположил, что кто-то выдает себя за Уолтца.
Но самое интересное произошло позже. Вскоре выяснилось, что личные данные советников по безопасности из команды Трампа (включая номера телефонов, электронную почту и даже пароли!) оказались в открытом доступе! Телефоны были «привязаны» к аккаунтам в Discord, WhatsApp и Signal.
Лично меня здесь больше всего поражает одно: человеческий фактор! Даже в таких, казалось бы, защищенных сферах, как национальная безопасность, обычная беспечность и несоблюдение элементарных правил гигиены в сети могут привести к огромным последствиям.
В очередной раз убеждаюсь: человек по-прежнему остается самым слабым звеном в любой системе ИБ. Никакие технологии не спасут, если люди не будут бдительными и ответственными. Безопасность начинается с нас самих!
24 марта редактор издания The Atlantic сообщил, что случайно оказался добавлен в групповой чат в мессенджере Signal,
Но самое интересное произошло позже. Вскоре выяснилось, что личные данные советников по безопасности из команды Трампа (включая номера телефонов, электронную почту и даже пароли!) оказались в открытом доступе! Телефоны были «привязаны» к аккаунтам в Discord, WhatsApp и Signal.
Лично меня здесь больше всего поражает одно: человеческий фактор! Даже в таких, казалось бы, защищенных сферах, как национальная безопасность, обычная беспечность и несоблюдение элементарных правил гигиены в сети могут привести к огромным последствиям.
В очередной раз убеждаюсь: человек по-прежнему остается самым слабым звеном в любой системе ИБ. Никакие технологии не спасут, если люди не будут бдительными и ответственными. Безопасность начинается с нас самих!
👍3❤2🤓1
Какой из следующих протоколов можно использовать для защиты службы LDAP от анонимных запросов?
Anonymous Quiz
20%
SSO
20%
NTLM
20%
WPA
40%
RADIUS
🤓2👍1🏆1
AI меняет правила игры в кибербезопасности. AI – это не только угроза, но и мощный инструмент в руках специалистов по кибербезопасности. Я уже делился своей статьей на хабре ⤴️ , где описал потенциальные угрозы безопасности API в 2025 году, которые могут быть реализованы с помощью ИИ.
Многие боятся потерять работу из-за автоматизации, но я считаю, что AI открывает новые возможности для тех, кто готов учиться и адаптироваться. Нужно использовать его возможности в свою пользу! Пока кто-то паникует, профессиональные пентестеры и хакеры видят в AI мощный инструмент и вовсю используют в своих интересах.
Так вот к чему я это все🤓 . На просторах интернета нашел книгу «Искусственный интеллект глазами хакера», которую планирую изучить .
Как описывает ее сам автор:
В сборнике:
➖ как заставить ChatGPT нарушать запреты и говорить то, что он говорить не должен;
➖ как выманивать пароли с помощью чат ботов и QR-кодов;
➖ как искать уязвимости с GPT-4 и использовать нейросети на багбаунти;
➖ как разоблачать фейковые баги и писать эксплоиты с помощью ИИ;
➖ как превратить Лламу в инструмент анализа кода;
➖ как настроить персональный нейросетевой фотоувеличитель.
Многие боятся потерять работу из-за автоматизации, но я считаю, что AI открывает новые возможности для тех, кто готов учиться и адаптироваться. Нужно использовать его возможности в свою пользу! Пока кто-то паникует, профессиональные пентестеры и хакеры видят в AI мощный инструмент и вовсю используют в своих интересах.
Так вот к чему я это все
Как описывает ее сам автор:
Эта книга — не просто обзор технологий, а исследование того, как нейросети можно использовать в самых неожиданных сценария.
В сборнике:
Чтобы оставаться впереди, нужно постоянно учиться!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🔥1🤓1
Какой метод социальной инженерии предполагает выдачу себя за доверенное лицо, чтобы получить конфиденциальную информацию?
Anonymous Quiz
0%
Tailgating
5%
Baiting
70%
Phishing
25%
Pretexting
🥰3👍1
Какая техника позволяет анализировать исполняемый файл, не имея исходного кода, для понимания его функциональности и выявления уязвимостей?
Anonymous Quiz
18%
Static analysis
23%
Dynamic analysis
55%
Reverse engineering
5%
Fuzzing
🔥1🌭1
Первая 0-day уязвимость (CVE-2024-53197) позволяла повысить привилегии и была обнаружена в USB-аудиодрайвере ядра Linux для ALSA-устройств. Сообщается, что именно эта проблема применялась сербскими правоохранителями для разблокировки конфискованных Android-устройств. Уязвимость использовалась в составе цепочки 0-day эксплоитов, разработанной компанией Cellebrite.
Также эта цепочка эксплоитов включала 0-day уязвимость в USB Video Class (CVE-2024-53104), исправленную в феврале текущего года, а также 0-day уязвимость в Human Interface Devices (CVE-2024-50302), исправленную в прошлом месяце и обнаруженную специалистами Amnesty International Security Lab в середине 2024 года.
Вторая проблема нулевого дня (CVE-2024-53150), исправленная в этом месяце, связана с out-of-bounds чтением и ведет к раскрытию информации в ядре Android. Используя эту уязвимость, локальный злоумышленник может получить доступ к конфиденциальной информации на уязвимых устройствах без участия пользователя.
В настоящее время нет подробностей о том, как CVE-2024-53150 использовалась в реальных атаках, и кто мог быть их целью.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3❤2🔥1
Какое оборудование на материнской плате генерирует ключи шифрования и выдает только часть ключа, так что расшифровка диска на новом оборудовании невозможна?
Anonymous Quiz
26%
UEFI
65%
TPM
0%
GPU
9%
CPU
🔥2❤1
Какой тип файла часто используется для хранения скриптов, выполняемых веб-браузерами, и может быть уязвим для атак XSS?
Anonymous Quiz
15%
.html
7%
.css
63%
.js
15%
.xml
❤1👍1
Всем привет!🕵♂️
Недавно на проекте столкнулся с таким механизмом безопасности API, который использует ключи RSA для проверки целостности запросов. Казалось бы и что тут такого...💻
Реализованный механизм призван помешать злоумышленникам манипулировать запросами, но также затрудняет проведение тестирования на проникновение. В каждый запрос вставляется новый заголовок, который формируется с помощью подписи RSA. Как раз вот тут и очень сильно усложняется процесс тестирования. Только представьте каждый раз менять подпись вручную, при смене одной буквы, запятой, вообще любого символа .😰
Решением стала автоматизация RSA-подписей. Для плагина Burp Suite я написал скрипт, которым хочу поделиться.
Свое решение более подробно с иллюстрацией работы скрипта и плагина, описал в статье, которую недавно опубликовал на habr.
- Статья
- GitHub
Недавно на проекте столкнулся с таким механизмом безопасности API, который использует ключи RSA для проверки целостности запросов. Казалось бы и что тут такого...
Реализованный механизм призван помешать злоумышленникам манипулировать запросами, но также затрудняет проведение тестирования на проникновение. В каждый запрос вставляется новый заголовок, который формируется с помощью подписи RSA. Как раз вот тут и очень сильно усложняется процесс тестирования. Только представьте каждый раз менять подпись вручную, при смене одной буквы, запятой, вообще любого символа .
Формирование подписи:
- приватный ключ
- ключ для проверки
- HTTP-метод запроса
- URI запроса (закодированный в формате URL)
- тело запроса
- объединение строк символом ( \n )
Решением стала автоматизация RSA-подписей. Для плагина Burp Suite я написал скрипт, которым хочу поделиться.
import base64
import subprocess
try:
import urllib.parse as urlparse # Try python 3 first
except ImportError:
import urllib as urlparse # Fallback for python 2
PRIVATE_KEY = "/path/to/key"
SIGNATURE_HEADER = 'XX-Signature'
if messageIsRequest:
print("Executing signature code")
...
Свое решение более подробно с иллюстрацией работы скрипта и плагина, описал в статье, которую недавно опубликовал на habr.
- Статья
- GitHub
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🔥3👏1🤓1
Компания
внедряет новый защитный механизм для устройств под управлением Android
перезагружать заблокированные и неиспользуемые устройства после трех дней бездействия, возвращая их память в зашифрованное состояние.
Благодаря этой функции ваше устройство автоматически перезагружается, если оно заблокировано в течение трех дней подряд — пишут разработчики.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3👍2❤1🥰1