👩‍💻 Clone2Leak: ваши креды Git принадлежат нам

Исследователь из GMO Flatt Security обнаружил ошибку, которая позволяет вредоносному репозиторию раскрывать учётные данные пользователя. Поскольку концепция этой ошибки интересна, он решил изучить другие проекты, связанные с Git, и нашёл множество ошибок, начав с GitHub Desktop.

Что в итоге: Git использует специальный Git Credential Protocol для работы с учетными данными через credential helper — программу, хранящую и предоставляющую пароли. Примеры таких программ:

🖤 git-credential-store,
🖤 git-credential-winstore,
🖤 git-credential-osxkeychain.

Из-за неправильной обработки данных множество проектов оказались уязвимыми для утечки учетных данных различными способами:

🖤 Уязвимость в GitHub Desktop (CVE-2025-23040),
🖤 Уязвимость в Git Credential Manager (CVE-2024-50338),
🖤 Уязвимость в Git LFS (CVE-2024-53263),
🖤 Защита в Git (CVE-2024-52006),
🖤 Уязвимость в GitHub CLI (CVE-2024-53858),
🖤 Уязвимость в GitHub Codespaces.

#security #bugbounty

🤌 Awesome Burp Suite Extensions

Коллекция расширений Burp Suite, которая достойна ваших заметок:

💚 сканеры;
💚 сбор информации;
💚 обход WAF;
💚 ведение логов/заметки;
💚 криптография и многое другое.

#tools #bugbounty #pentest

💪 Теперь вы Super_Admin: Fortinet FortiOS Authentication Bypass CVE-2024-55591

Эта уязвимость — не просто байпас аутентификации, а цепочка проблем, объединённых в одну критическую уязвимость. Если кратко описать эту уязвимость, то происходит четыре важных события:

1. Подключение к WebSocket может быть создано на основе pre-auth HTTP-запроса.

2. Специальный параметр local_access_token может использоваться для пропуска проверок сессии.

3. Race condition в WebSocket → Telnet CLI позволяет отправить запрос на аутентификацию до того, как это сделает сервер.

4. Аутентификация, которая используется, не содержит уникального ключа, пароля или идентификатора для регистрации пользователя. Можно просто выбрать профиль доступа super_admin.

➡️ Погрузиться подробнее

#pentest #bugbounty #writeup

💡 Шпаргалка по обходу валидации URL

Внутри коллекция пэйлоадов для эксплуатации SSRF/СORS misconfiguration/open redirect, которая постоянно обновляется.

#cheatsheet #bugbounty #pentest

🥷 Кража кук HttpOnly с помощью техники cookie sandwich

Очередное исследование PortSwigger раскрывает технику cookie sandwich, которая позволяет обойти флаг HttpOnly на определенных серверах.

Оно является продолжением Bypassing WAFs with the phantom $Version cookie. Внимательные читатели могли заметить, что устаревшие файлы cookie позволяют включать специальные символы в значение файла cookie. Из статьи вы узнаете, как этим злоупотребить.

👉 Читать

#research #bugbounty

🔥 Топ-10 техник атак веб-приложений 2024 года

Из номинированных изначально ~120 исследований выбрано 10 самых топовых. Вот как выглядит рейтинг:

1. Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server.
2. SQL Injection Isn't Dead: Smuggling Queries at the Protocol Level.
3. Unveiling TE.0 HTTP Request Smuggling.
4. WorstFit: Unveiling Hidden Transformers in Windows ANSI.
5. Exploring the DOMPurify library: Bypasses and Fixes.
6. DoubleClickjacking: A New Era of UI Redressing.
7. CVE-2024-4367 - Arbitrary JavaScript execution in PDF.js.
8. OAuth Non-Happy Path to ATO
9. ChatGPT Account Takeover - Wildcard Web Cache Deception.
10. Hijacking OAuth flows via Cookie Tossing.

👉 Читать перевод статьи

#bugbounty #pentest

😈 В Burp Turbo Intruder 1.51 результаты теперь отображаются в верхней части таблицы, чтобы вы могли видеть их без прокрутки!

Если вам больше нравится старое поведение, можете вернуть его с помощью:

table.setSortOrder(0, False)

#tips #bugbounty #tips

🎯 Эксплуатация PDF-генераторов: полный гайд по поиску уязвимостей SSRF

Вы на практике узнаете о последствиях обработки несанитизированных пользовательских данных в PDF-генераторах, а также то, как можно эксплуатировать эти функции и добиваться большего импакта.

👉 Читать

#guide #bugbounty #pentest

🔍 WPProbe — быстрый и эффективный сканер WordPress-плагинов, который использует REST API enumeration для обнаружения установленных плагинов

В отличие от традиционных сканеров, которые «забивают» сайты запросами, WPProbe просто запрашивая открытый REST API (?rest_route).

Эта техника позволяет скрытно идентифицировать плагины (~900), снижая риски обнаружения и ускоряя процесс сканирования.

💻 GitHub

#tools #bugbounty

⬆️OWASP Smart Contract Top 10

Документ описывает топ-10 основных уязвимостей в смарт-контрактах и служит справочным материалом для обеспечения защиты смарт-контрактов от наиболее критических уязвимостей, эксплуатируемых или обнаруженных в последние годы.

• SC01:2025 - Access Control Vulnerabilities
• SC02:2025 - Price Oracle Manipulation
• SC03:2025 - Logic Errors
• SC04:2025 - Lack of Input Validation
• SC05:2025 - Reentrancy Attacks
• SC06:2025 - Unchecked External Calls
• SC07:2025 - Flash Loan Attacks
• SC08:2025 - Integer Overflow and Underflow
• SC09:2025 - Insecure Randomness
• SC10:2025 - Denial of Service (DoS) Attacks

#security #pentest #bugbounty #web3

🔍 Blind XSS: полный гайд по поиску и эксплуатации уязвимости

Из очередного гайда от Intigriti вы узнаете, как искать XSS и настраивать необходимые инструменты, которые помогут находить и получать уведомления о конкретном типе XSS.

👉 Читать

#bugbounty #guide

🔎 Утечка электронной почты любого пользователя YouTube за $10k

Багхантер исследовал Google Internal People API и обнаружил, что функция блокировки пользователей использует обфусцированный Gaia ID (уникальный идентификатор Google-аккаунта). Оказалось, YouTube позволяет блокировать пользователей, что автоматически добавляет их в Google Blocklist.

➡️ В итоге получаем следующую цепочку атаки:

1️⃣ Получение Gaia ID любого пользователя YouTube:

— Достаточно заблокировать пользователя на YouTube через live-чат.
— В Google Blocklist появится его обфусцированный Gaia ID.

2️⃣ Масштабирование атаки на всех пользователей YouTube:

— При нажатии трёх точек рядом с комментарием в чате отправляется запрос:

POST /youtubei/v1/live_chat/get_item_context_menu

— Ответ содержит обфусцированный Gaia ID пользователя без необходимости блокировать его.
— Это позволяло получить Gaia ID любого YouTube-канала.

3️⃣ Преобразование Gaia ID в email-адрес:

— Исследователь нашёл старый сервис Google Pixel Recorder.
— Этот сервис позволял поделиться записью, используя Gaia ID.
— В ответе сервера вместо Gaia ID возвращался email-адрес.

4️⃣ Обход уведомления жертвы:

— При отправке записи пользователь получал уведомление на email.
— Но если название записи было очень длинным (миллионы символов), уведомление не отправлялось.
— Это позволило получить email жертвы без её ведома.

#writeup #bugbounty

🥷 Nginx/Apache Path Confusion для обхода аутентификации в PAN-OS

Команда Assetnote обнаружила очередную не самую очевидную багу, позволяющую обойти аутентификацию. Проблема связана с разницей в обработке путей между Nginx и Apache.

1️⃣ Nginx декодирует %252e%252e → %2e%2e, не обнаруживает .. и отключает аутентификацию.

2️⃣ Apache применяет RewriteRule, повторно декодирует %2e%2e → .., что приводит к обходу.

3️⃣ В результате PHP исполняет /php/ztp_gate.php без аутентификации.

#writeup #bugbounty #pentest

🔥 Распространенные уязвимости OAuth

Хотя протокол OAuth2 упрощает вход пользователя в систему, его сложность может привести к неправильным настройкам, которые создают дыры в безопасности.

Некоторые из наиболее сложных багов продолжают появляться снова, поскольку внутренняя работа протокола не всегда хорошо понятна. Чтобы исправить это, команда Doyensec написала всеобъемлющее руководство по известным атакам на реализации OAuth.

Самое полезное для нас — чек-лист, который можно использовать как для поиска багов, так и для безопасной разработки.

👉 Читать

#cheatsheet #security #bugbounty #pentest

⚙️ Команда ProjectDiscovery представила флаг -ai для сканера Nuclei

ИИ теперь может ссылаться на внешние URL-адреса (базы данных NIST NVD, CVE и описания уязвимостей) для создания более контекстно-зависимых шаблонов. Это упрощает поиск уязвимостей и позволяет работать с инструментом без знания YAML.

👉 О других нововведениях читайте в анонсе

#ai #tools #pentest #bugbounty

🤯 Server-side request forgery: полное руководство по эксплуатации уязвимости

Уязвимости SSRF оказывают значительное влияние, поскольку могут открыть совершенно новую, часто внутреннюю, инфраструктуру для багхантеров.

SSRF обычно позволяет читать или изменять конфиденциальные данные или системные файлы, но в критических кейсах также позволяет вносить изменения в критически важные сторонние сервисы (например, AWS и GCP).

➡️ В гайде от Intigriti рассматриваются практические аспекты поиска и эксплуатации как простых, так и сложных SSRF:

💚 Exploiting basic SSRFs
💚 Bypassing host whitelists
💚 Bypassing protocol whitelists
💚 Exploiting SSRFs in PDF generators
💚 Exploiting second-order SSRFs
💚 Exploiting blind SSRFs
💚 Exploiting SSRFs via DNS rebinding

#guide #bugbounty #pentest

💸❤️ «Яндекс» подвёл итоги программы «Охота за ошибками» 2024 и выплатил более 50 млн рублей белым хакерам за уязвимости

Багбаунти программа «Яндекса» стартовала еще в 2012-м, но прошлый год стал самым «вкусным» в плане выплат. Компания выплатила 50,8 млн рублей багхантерам за уязвимости, включая 5,9 млн рублей одному белому хакеру за 28 отчётов. Второе и третье место заняли исследователи с выплатами в 3,6 и 3 млн рублей.

➡️ Читать отчет

#bugbounty

🎙 8-й выпуск Responsible Disclosure Podcast: Дмитрий Лукьяненко — из разработчика в хакера Android приложений, поиск уязвимостей как работа

Дмитрий Лукьяненко является белорусским багхантером и экс-Android-разработчиком, известным своими достижениями в области кибербезопасности. На данный момент он единственный исследователь в СНГ, обладающий HackerOne MVH (Most Valuable Hacker) Belt!

В 2019 году ему удалось занять второе место в рейтинге «белых хакеров» Facebook*. На протяжении многих лет он демонстрировал выдающиеся знания экосистемы Android и находил серьезные баги в продуктах многих крупных компаний.

В подкасте Дмитрий рассказывает о своем пути, о том, на что он обращает внимание больше всего, и как сохраняет навык и интерес после стольких лет работы в этой сфере.

⏳ Таймкоды:

00:00:43 – Приветствие и начало подкаста
00:01:31 – Первые шаги в карьере
00:04:21 – Работа в Яндексе
00:05:49 – Первая уязвимость и награда
00:07:44 – Вдохновение и первые атаки
00:10:19 – Переход из android разработки в безопасность
00:11:54 – Жизнь на bug bounty full time
00:13:26 – Гранты от Google
00:14:23 – Фокус на уязвимости
00:17:38 – Взаимодействие с мобильными приложениями
00:21:29 – Подход к поиску багов
00:25:07 – Пример уязвимости
00:29:53 – Ошибки в безопасности
00:31:41 – Переход к веб-уязвимостям
00:33:26 – Вдохновляющие примеры
00:34:21 – Уязвимости без технических навыков
00:35:11 – Уязвимость в Facebook
00:36:11 – Баг на мероприятии в Сингапуре
00:38:05 – Стратегия раскрытия уязвимостей
00:39:50 – Уязвимость в Windows Messenger
00:43:27 – Статус “Most Valuable Hacker”
00:46:09 – Санкции со стороны платформ
00:48:03 – Бонусы и мотивация
00:49:51 – Инвестиции в оборудование
00:53:46 – Важность образования
00:54:45 – Советы новичкам
00:55:31 – Безопасность Android
00:55:53 – Курсы по программированию устройств
00:56:50 – Автоматизация и инструменты

⏯️ Смотреть или слушать полностью

#podcasts #bugbounty #infosec #mobile

* Организация Meta запрещена на территории РФ