😈 ОТРываемся

Прошлым месяцем на программе Bug Bounty нашел способ регистрировать аккаунты на несуществующие номера телефонов путём обхода OTP — OWASP A01:2021 (Broken Access Control).

Произошло это из-за неправильной архитектуры веб-приложения. При регистрации нужно подтвердить свой номер телефона кодом из СМС (англ. OTP — One-Time Password). Таким образом система должна убедиться, что регистрирующийся пользователь и правда владеет введённым номером. Но при анализе ответов с сервера я обнаружил, что мне возвращается 200-ый код и accessToken (см. скриншот). Это означает, что данные об аккаунте заносятся в базу данных еще до подтверждения кода из СМС. Мне было достаточно перейти в личный кабинет по ссылке https://<...>/profile через 2-3 минуты, после чего у меня был полный доступ к аккаунту. Причем интересно, почему именно спустя какое-то время (если у вас есть идеи почему так, жду комментарии).

Разработчикам необходимо переработать логику создания аккаунта — сначала подтверждение OTP, а после уже вносить аккаунт в базу данных. Конкретно в данном проекте нет возможности отказаться от подтверждения кода, поэтому этот момент должен быть проработан, иначе можно создавать множество аккаунтов на несуществующие номера.

К сожалению, уязвимость в репорте оказалась дубликатом: ровно месяц назад эту же дыру нашел другой специалист.

#bugbounty #кейс

💻 Игра по-крупному

6 часов назад к холодному кошельку биржи Bybit был получен несанкционированный доступ, в результате чего хакерами было выведено 401346 ETH (~1 млрд долларов). Об этом заявил CEO биржи.

Это крупнейшая кража в истории криптовалюты.

С данного момента мультиподпись и аппаратные кошельки не гарантируют безопасность. Ожидаем новые методы защиты?

Берегите свои активы!

#новость

📕 Мой путь к проектам

Хочу оставить развёрнутый отзыв об академии пентестеров в ИБ кооперативе RAD COP в виде вопрос-ответ (заодно получится и FAQ). С чем пришел, чему научился, чем занимаюсь сейчас.

▎Как я попал в академию?
➡️Продолжительное время пытался найти работу по пентесту изначально просто для опыта, а не ради денег. Я мечтал влиться в команду пентестеров, активно получать новые знания и расширять свой кругозор атак. Через headhunter попасть никуда не смог. Да, приглашали, но не подходили по моим ожиданиям (20 часов в неделю, желательно удалёнку и т.д.). Остальные не воспринимали меня по возрасту или требовали оконченного высшего образования (или 3-4 курс). Почти в отчаянном состоянии, когда были мысли по типу "ничего не светит до 3-го курса", решил через Google написать ИБ компаниям по контактам на их сайте. Утром получил ответ от RAD COP с предложением провести созвон. Я уже пришёл с хорошей теоретической и практической базой, поэтому были знания, от которых я отталкивался для погружения далее. Огромная благодарность моему Тимлиду @CuriV, который помогает мне во всём до сих пор и в целом благодарность всему кооперативу за тёплое принятие в свои ряды.

▎Как я прошёл отбор в академию?
➡️На собеседовании обсудили все мои сильные и слабые стороны. После этого в срок выполнил тестовое задание (CTF), в котором надо было собрать все флаги и написать отчет с последующей его защитой. С работой справился хорошо.

▎Как происходило обучение в академии?
➡️Нам давали задания на неделю по принципу минимум-максимум. Я старался выкладываться по полной и выполнять максимум из расписанных заданий. Включалась еще какая-нибудь CTF лаба, к которой ещё надо написать отчёт. В созвонах каждую неделю мы собирались в групповой звонок, где каждый презентовал свой отчёт, делился впечатлениями и сложностями. Если возникали какие-либо вопросы или трудности, друг другу во всем помогали разобраться.

▎Сколько длилось моё обучение в академии?
➡️Почти 2 месяца.

▎Что я сделал в академии?
➡️Изучил OWASP top 10 API 2019 и 2023 годов.
➡️Изучил Swagger.
➡️Решил API лабы в Portswigger.
➡️Прошёл лабу VAmPI.
➡️Написал статью по пентесту лабы VAmPI.
➡️Прошёл лабу FVWA.
➡️Прошёл лабу Metasploitable3.
➡️Прошёл Bandit до 13 лвл (отложил на будущее).
➡️Пробовал новые инструменты.
➡️Прошёл лабу из тестового задания другой ИБ компании.
➡️Научился делать более детальное оформление отчёта без шаблона.
➡️Изучил методы личной эффективности: метод Zettelkasten, техника Pomodoro, метод GTD, метод Фейнмана, метод SMART в постановке задач, цикл Деминга (PDCA), конус обучения Эдгара Дейла, кривая забывания Эббингауза, "карта и территория".
➡️Освежил предыдущие знания и приготовился двигаться дальше.
➡️И, возможно, что-то ещё (мог упустить при написании поста).

▎С каким результатом я закончил академию?
➡️Полученные знания применяю на коммерческих проектах до сих пор, а методы личной эффективности помогли организоваться: не забывать запланированные дела и оптимизировать своё время.

▎Что мне даёт этот сертификат (см. скриншот)?
➡️Юридически ничего, но за ним скрывается большая история, которой грех не поделиться. Поэтому этот сертификат даёт мне ощущение достижения, уверенность в своих силах и доказательство того, что я смог преодолеть такой объёмный и насыщенный путь обучения.

▎Чем я начал заниматься после окончания академии?
➡️Работать над коммерческими проектами Заказчиков. Это на голову сложнее и интереснее CTF, поэтому прохождение академии помогло мне подготовиться к таким переменам.

Хоть академия и закончилась для меня в роли обучающегося, но сама учёба не закончится никогда. Продолжаю совершенствоваться на реальных проектах, решаю найденные лабы в интернете, читаю теорию OSCP и так далее. Настало время передавать свои знания новым джунам в академии в роли ментора/препода :)

🤨 С вас 1e-1 рублей

На практике часто приходится сталкиваться с тестированием платёжных систем. Данная методичка поможет пентестерам проводить более тщательный анализ безопасности таких систем. На проекте также воспользовался данным материалом.

▎Краткое содержание:
➡️Уязвимости типа Time-of-Check-Time-of-Use (TOCTOU) и Race Condition;
➡️Манипуляции с параметрами;
➡️Атаки повторного воспроизведения (Replay Attacks);
➡️Ошибки округления;
➡️Проблемы обработки числовых данных;
➡️Уязвимости, связанные с номерами карт;
➡️Динамическое ценообразование, цены с допуском и реферальные схемы;
➡️Перебор и угадывание данных (Enumeration and Guessing);
➡️Проблемы криптографии;
➡️Загружаемые и виртуальные товары;
➡️Скрытые и небезопасные backend-API;
➡️Использование тестовых данных в production-среде;
➡️Арбитраж валют при пополнении/покупке и выводе/возврате средств.

Документ переведён на русский язык, но оригинал на английском также сохранён. Когда встретится кривой перевод, всегда можно свериться с оригинальным текстом страницей выше.

Сохраняйте себе, чтобы не потерять!

#материал

🤨 Костылёк на костыльке...

Однажды появилась задача поисследовать Bitrix на уязвимости. Нашёл очень классные материалы по атакам на данную CMS на русском языке. С помощью них обнаружил несколько некритических уязвимостей на проекте, а потом отпала необходимость ковырять данный вектор. Ну и ладно)

Всегда держу ссылочки при себе на всякий случай, вам тоже советую их сохранить.

🔗 Ссылка на методичку PDF [Автор crlf]
🔗 Ссылка на скачивание шпаргалки PDF [Автор Антон Лопаницын]
🔗 Ссылка на Bitrix Ultimate Pentest Guide [Автор FaLLenSkiLL]

#материал