⛈ Подход к изучению веб пентеста | Часть 2

🔐 Изучение рекомендаций по защите
Стоит начать изучать к примеру рекомендации по защите jwt от owasp и других комьюнити
📌 С этим ты начнешь в настоящем проекте видеть отклонения от этих рекомендаций и сможешь понять где уязвимо, также это поможет тебе глубже вникнуть в защиту и ее общие и детальные рекомендации как делать не надо

🔐 Изучение фреймворков
К примеру: laravel, django, bitrix и т.д.
📌 При столкновении с ними в реальном проекте ты будешь -+ понимать с чем ты столкнулся, как оно работает и функционирует, оттуда можно и поисследовать проект на мисконфиги, небезопасные скрипты написанные разработчиками и т.д. также будешь понимать какие встроенные защитные механизмы там уже есть по дефолту и будет понимание на какие уязвимости нет смысла тестировать, а каким стоит дать приоритет

💻 Изучение архитектуры
Изучение разных архитектур, например: serverless, SPA и т.д.
Это поможет тебе понимать веб приложение стоящие перед тобой - полностью или хотя бы частично
📌Анализ архитектуры поможет анализировать компоненты которые взаимосвязаны между собой и поможет в оценке функциональности приложения
К примеру: если при написании функционала разработчики везде в коде используют старый DOMPurify для защиты от XSS, то это приведет к уязвимостям во всем функционале, т.к. старый DOMPurify был уязвим к mXSS уязвимости
Или используется принцип "хранить все яйца в одной корзине", к примеру ты нашел CDN, прошерстил папки и файлы и нашел конфиденциальные данные пользователей

📌 Полезные ссылки:
📶 Матрица компетенций по веб и инфре
📶 Roadmap недавно обновленный
📶 Атаки на фреймворки и их особенности

ЧТНП | #web

🤓 Тот момент, когда не ты вышел на Wildberries, а Wildberries вышли на тебя… и позвали багхантить.

Такое уже было на августовском Standoff Hacks, когда за поиск уязвимостей в закрытых программах компания выплатила больше 4 млн ₽.

А с сегодняшнего дня маркетплейс запускает собственную багбаунти-программу на Standoff 365. Уязвимости можно искать на всех «ягодных» ресурсах: *.wildberries.ru, *.wb.ru, *.paywb.com, *.paywb.ru, *.wb-bank.ru.

Самое большое вознаграждение за баги, найденные в основном скоупе, — 250 000 ₽. Здесь предстоит проверить веб-версию и приложения маркетплейса и портала продавцов, сервис «Всем работа», платежный шлюз (только веб) и Balance Pay (только мобилки).

Остальные ресурсы включены в дополнительный скоуп, там максимальное баунти в два раза меньше.

😲 Отдельный сценарий — взлом личного кабинета тестового продавца. Если тебе это удастся, получишь 500 000 ₽.

Больше информации — в программе на сайте. Читай, изучай, ломай. Верим в тебя!

⛈ RCE | Где и как искать

Привет! Если ты ещё не находил RCE на баунти и задумывался как было бы здорово получить не дубль и много деняк, то это видео приоткроет завесу тайны об RCE.
В этом видео: разбор кейсов с баг баунти, где, в каких механизмах, и при каких обстоятельствах находили RCE...
Happy hacking 😏

📶 Where are all the RCEs?

ЧТНП | #web

С наступающим новым годом, граждане пентестеры ❤️

Я наконец-то ожил, как вы поживаете и как новогоднее настроение в целом? Пишите в комментариях
В этом году нас стало аж 1700+ несмотря на то, что каналу и год нет, за что большое спасибо 🥰
Также было несколько крутых конференций, новый опыт в баунти и плюс скилл, также куча нового мерча
Буду стараться вас радовать новыми полезными публикациями чаще чем это было и более качественней
Будем и дальше поднимать скилл, расти и покорять новые вершины ☺️

Я желаю в новом году всем вам хорошего настроения, сильной мотивации для исполнения всех ваших идей и мечтаний, а также новых хороший людей на вашем пути. Ваш Что-то на пентестерском 💫

С новым годом ❤️

Минут 10 назад узнал что оказывается есть ежегодный список топ каналов по ИБ, оказалось что и мы там есть 🦔
Большое спасибо кто дал рекомендацию ❤️

Многие оставляют недоработанными вектора атак с self-XSS или XSS, заблокированной CSP. Иногда стоит уделить достаточно внимания каждой такой находке и посмотреть на уязвимость с другой стороны 😈

В этой статье мы рассмотрим различные методы и техники, которые расширяют границы XSS-атак: эксплуатацию XSS через service-worker, self-XSS в один клик и другие сочетания уязвимостей 💎

https://telegra.ph/XSS-Advanced-Level-01-09

⛈ Как ломать 1С-Битрикс

Привет! Теперь я могу выложить статью с помощью которой проскочил на Standoff Hacks. Также команда standoff 365 помогла её отредактировать, за что большое спасибо и теперь я выложил её на хабр 👍

Краткое содержание статьи
⬜️ Что делать, если по всем известной методичке про атаки на битрикс ничего не найдено
⬜️ Откуда появляются самописные скрипты в битриксе
⬜️ Охота и разведка на самописные php скрипты разработчиков
⬜️ Атака + кейс с работы

Приятного чтения & Happy hacking ☺️

📶 Как ломать сайты на «1С-Битрикс»

ЧТНП | #web

⛈ Bypass CAPTCHA 1C-Bitrix

Привет! Решил опубликовать на хабр своё старое исследование на тему как обходить капчу в битриксе 🖥

Краткое содержание статьи
⬜️ Устройство капчи в битриксе
⬜️ Как обходить
⬜️ Эксплойт для обхода капчи

Приятного чтения & happy hacking ☺️

📶 Bypass CAPTCHA 1C-Bitrix

ЧТНП | #web

⛈ Автоматический сбор самописных скриптов

Привет! В дополнение к статье о том, как ломать самописные скрипты в битриксе и не только, по инициативе специалиста в области информационной безопасности (тг канал) https://t.iss.one/lisasN0tes был написан скрипт для сбора самописных скриптов из AJAX.

Функционал
⬜️ Кравлер: собирает ссылки из указанного URL-адреса и записывает в файл urls.txt
⬜️ Парсер: парсер начинает читать ссылки из файла и на основе регулярных выражений ищет самописные скрипты
⬜️ Весь вывод идет в JSON

Happy hacking 😉

📶 Скрипт

ЧТНП | #web

⛈ Бесплатные курсы по API

Привет! Попался не давно ресурс похожий на portswigger. Он посвящен полностью обучению пентеста API а также можно получить сертификаты ASCP(API Security Certified Professional) CASA (Certified API Security Analyst Exam) но это уже платная история

Чему учат:
🟢API Penetration Testing
🟢API Security Fundamentals
🟢API Security for Connected Cars and Fleets
🟢API Security for PCI Compliance
🟢API Documentation Best Practices
🟢API Gateway Security Best Practices
🟢OWASP API Top 10 & Beyond
🟢Securing API Servers
🟢Securing LLM & NLP APIs

Happy hacking 😉

📶 ApiSecUniversity

ЧТНП | #web

⛈ Как искать 0-day и как получить CVE?

Привет! Если тебе надоел баг баунти, то существует аналог в виде поиска 0-day уязвимостей и получения CVE в open source проектах. Но как именно это делать, где искать и как зарегистрировать CVE — этими секретами сегодня поделится с нами отличный application security специалист с 4-мя CVE за спиной и 4-мя годами опыта работы. Встречайте, друзья, @johnny_shein 👏

⏳ Шаг 1. Выбор цели
Beginner: Если вы хотите попрактиковаться или начать это дело, то цель можно найти на GitHub'е по поиску, например CMS, но со вкладкой "security". Если вкладка есть, то можно спокойно приступать к поиску багов. Её может и не быть, это значит, что придется искать контакты вендора и общаться с ним напрямую. Также стоит посмотреть, сколько звезд у проекта. Нужно минимум 300 звёзд. Это является небольшой гарантией того, что проект поддерживается, разработчики активные. И чем меньше звезд, тем больше шанс найти багу. Если брать WordPress, у него, хоть и много звёзд но он заисследован до дыр.
Skilled: Для более опытных ребят в этой теме существует сайт по баг-баунти для opensource проектов – https://huntr.com. В данный момент он больше делает уклон в AI-проекты, но можно найти и обычные. Также оттуда можно почитать репорты хантеров.

🖥 Шаг 2. Подготовка
После того, как вы определили, какой проект будете запускать, его нужно просто развернуть у себя на виртуальной машине. На GitHub я обычно смотрю, как происходит установка проекта; если она проста, то можно использовать. В основном я использую команды Docker для установки и просто разворачиваю проект у себя.

🔍 Шаг 3. Ищем 0-day
Чтобы найти 0-day, я читаю код. В первую очередь рассматриваю метод black box. Если какой-то механизм в проекте кажется интересным или payload не работает, я обращаюсь к коду. Также никто ничего не скажет вам, если пройдётесь по коду с использованием SAST и если подтвердить найденную уязвимость через динамику, то можно получить CVE.
P.S. Если хочешь увидеть как это делать на практике — загляни в полезные ссылки.

👮‍♀ Шаг 4. Регистрация CVE
Получить CVE можно через huntr использовав публикацию отчета, также придется говорить где в коде указать фикс уязвимости.
Можно через github, но нужно искать контакты разработчика, он будет сам регистрировать CVE, либо использовать фичу в gihub — advisory database

❔Легко ли найти 0-day?
Да, я нашел уязвимость Insufficient Session Expiration. Ее суть в том, что если в двух разных браузерах зайти на ресурс под одним аккаунтом, изменить пароль и разлогиниться, сессия в первом браузере остается активной.
За это мне и дали первую CVE 😉

🟢Полезные ссылки:
📶 Методика поиска 0-day уязвимостей на практике от RiotSecTeam
📶 Практика чтения уязвимого кода
📶 Отчеты баг хантеров с сайта huntr

ЧТНП | #web

Полезный канал для тех, кому интересно сетевое администрирование:

👨‍💻Сетевик Джонни // Network Admin — канал сетевого инженера, который рассказывает про создание и настройку внутренних компьютерных сетей в доступной форме.