🔥 Репорты простым языком

🔥DEF CON 32 - Самая темная сторона Bug Bounty - Jason Haddix

Джейсон Хаддикс, опытный специалист в области баг-баунти, представил доклад о проблемах и недостатках в индустрии охоты за уязвимостями. Он рассказал о своем опыте работы на всех сторонах экосистемы: как охотник за багами, как сотрудник платформы баг-баунти и как владелец программы.

Хаддикс выделил несколько ключевых проблем в индустрии. Во-первых, платформы баг-баунти используют данные об атаках и исследованиях хакеров для обучения ИИ и создания инструментов обнаружения уязвимостей, не предоставляя компенсацию исследователям. Во-вторых, компании, предоставляющие облачные WAF, мониторят трафик лучших охотников за багами, чтобы улучшить свои продукты, опять же без компенсации.

Докладчик также затронул проблемы, связанные с бюджетами программ и оценкой уязвимостей. Часто компании недооценивают необходимый бюджет для публичных программ, что приводит к занижению оценок уязвимостей или группировке багов для экономии средств. Хаддикс раскритиковал практику использования диапазонов выплат, отметив, что менее 15% клиентов когда-либо платят выше минимума указанного диапазона.

Особое внимание было уделено проблеме "звездности" в сообществе. Известные исследователи имеют преимущества в виде прямого доступа к руководству платформ и приоритетной поддержки, что создает неравные условия для новичков. Хаддикс также упомянул случаи кражи исследований внутренними триажерами платформ и подчеркнул необходимость высоких этических стандартов в индустрии.

В заключение Хаддикс предложил несколько советов для охотников за багами, включая тщательное описание воздействия уязвимости и стратегическое представление отчетов. Он подчеркнул, что платформы должны лучше ценить своих исследователей, так как они являются ключевым продуктом в экосистеме баг-баунти. Докладчик призвал к улучшению коммуникации между всеми участниками процесса и более прозрачной документации всех этапов работы с уязвимостями.

https://www.youtube.com/watch?v=6SNy0u6pYOc

Лукас Маккалоу, студент магистратуры по кибербезопасности и уголовному правосудию в Бостонском университете, представил доклад о физическом OSINT (Open Source Intelligence). Он определил OSINT как любую информацию из открытых источников в интернете, которую можно использовать без взлома или оплаты. Маккалоу рассказал о своем опыте работы с Trace Labs, организацией, использующей краудсорсинг для поиска пропавших людей, и упомянул Joe Gray как своего наставника в области OSINT.

Докладчик описал ряд инструментов, используемых в OSINT-расследованиях. Среди них Maltego - инструмент для визуализации связей между различными данными; WHOIS - для получения информации о владельцах доменов; Shodan - для поиска устройств, подключенных к интернету; и WiGLE - для информации о беспроводных сетях. Он также упомянул важность использования фреймворков и создания собственных рутин для OSINT-исследований.

Маккалоу подчеркнул важность Google Dorking для поиска специфической информации, такой как планы этажей или арендные договоры. Он продемонстрировал, как можно найти конфиденциальную информацию компаний, используя их адрес в поисковых запросах. Докладчик также представил новый инструмент GEOS spy AI, который может определить приблизительное местоположение по изображению.

В качестве примера применения OSINT Маккалоу рассказал о своем расследовании массажного салона. Он показал, как использовал Google-обзоры, изображения с Google Maps и данные WiGLE для сбора информации о планировке помещения, системах видеонаблюдения и беспроводных сетях объекта. Это демонстрирует, как много информации можно собрать, не посещая физически место расследования.

В заключение Маккалоу ответил на вопросы о переходе от онлайн-исследований к физическому наблюдению. Он подчеркнул важность социальной инженерии, например, использования поддельных удостоверений или маскировки под рабочего для получения физического доступа к объектам. Маккалоу также рассказал о своей работе с местными властями и волонтерскими организациями, в частности, в расследованиях, связанных с торговлей людьми во время Суперкубка.

https://www.youtube.com/watch?v=ksbFhXdF2EI

Пейю Ван, инженер по безопасности, представил доклад о хакинге децентрализованных приложений (dApps). Он выделил три типа dApps: без API (только смарт-контракты), с API (взаимодействие с бэкендом) и полномасштабные (сложная архитектура). Ван подчеркнул, что с развитием блокчейн-экосистемы dApps становятся все более сложными, часто интегрируя значительные компоненты Web2. Это приводит к появлению новых уязвимостей, особенно когда разработчикам не хватает знаний либо в области Web3, либо в области Web2 безопасности.

Докладчик описал различные виды атак на dApps. На клиентской стороне это могут быть вредоносные транзакции, кража подписей и фишинг. Серверная сторона уязвима для кражи приватных ключей, неправильной обработки транзакций и условий гонки. Ван отметил, что Web2 уязвимости в контексте Web3 приложений часто имеют более высокую критичность из-за прямого доступа к криптоактивам. Кроме того, он выделил уникальные для Web3 уязвимости, такие как злоупотребление газом, проблемы с валидацией адресов смарт-контрактов и ошибки в обработке токенов и NFT.

Ван привел несколько конкретных примеров уязвимостей в dApps. Один из случаев касался возможности истощения газа админского кошелька путем генерации случайных адресов и вызова API для их регистрации. Другой пример демонстрировал уязвимость, связанную с длительным временем обработки транзакций, что могло привести к атаке типа "отказ в обслуживании". Также была рассмотрена проблема условий гонки в игровом dApp, позволяющая пользователям тратить больше внутриигровой валюты, чем они имеют на балансе. Особое внимание было уделено уязвимостям в мостах между блокчейнами, где отсутствие проверки адреса смарт-контракта могло привести к краже средств.

Для обеспечения безопасности dApps Ван подчеркнул важность не только аудита смарт-контрактов, но и тщательного тестирования бэкенд-компонентов. Он отметил, что эксплуатация уязвимостей в бэкенде может быть менее заметной, чем атаки на смарт-контракты, но потенциально столь же опасной. Докладчик призвал разработчиков dApps уделять равное внимание безопасности как Web3, так и Web2 аспектов своих приложений.

В заключение Ван дал советы тем, кто хочет начать заниматься хакингом dApps. Он рекомендовал сначала хорошо освоить хакинг Web2 приложений, так как многие dApps содержат значительные Web2 компоненты. Затем следует изучить различные архитектуры dApps, поэкспериментировать с ними, вложив небольшую сумму в криптовалюту. Важно также понять основные концепции блокчейна и научиться читать смарт-контракты на Solidity. Ван подчеркнул, что хакинг dApps - это отличный способ для специалистов по Web2 безопасности войти в мир Web3, отметив при этом возможность получения значительных наград за обнаружение уязвимостей, которые могут достигать миллионов долларов.

https://www.youtube.com/watch?v=QipdGm6HffM

Мэтт Бёр, независимый исследователь безопасности, представил результаты своей работы по изучению уязвимостей в системе безопасности банкоматов Diebold Nixdorf Vynamic Security Suite. Эта система широко используется в финансовом секторе и казино США. Бёр обнаружил серию уязвимостей, позволяющих обойти предзагрузочную аутентификацию и получить несанкционированный доступ к системе банкомата.

Ключевой проблемой оказалось наличие незашифрованного раздела Linux на жестком диске банкомата. Это позволило исследователю манипулировать процессом загрузки и получать доступ к зашифрованному разделу Windows, где хранится основное ПО банкомата. Бёр продемонстрировал несколько методов эксплуатации, включая модификацию системных файлов и использование символических ссылок.

Исследователь обнаружил и эксплуатировал уязвимости в нескольких версиях Vynamic Security Suite, начиная с версии 18 и заканчивая версиями 4.0-4.3. Каждый раз, когда Diebold Nixdorf выпускала исправление, Бёр находил новый способ обойти защиту. Это указывает на рекурсивный характер уязвимостей и сложность их полного устранения без фундаментального изменения архитектуры системы.
Бёр подчеркнул, что для эксплуатации уязвимостей требуется физический доступ к банкомату. Тем не менее, он рекомендовал ряд мер по смягчению рисков, включая своевременное обновление ПО, включение дополнительных проверок безопасности, мониторинг физического доступа к верхней части банкомата и блокировку винтов жесткого диска.

В результате исследования Бёра компания Diebold Nixdorf начала работу над полным шифрованием операционной системы Linux в своих банкоматах. Новая версия 4.4, выпущенная в апреле 2023 года, должна устранить основную причину уязвимостей. Это демонстрирует важность независимых исследований безопасности для улучшения защиты критически важных финансовых систем.

https://www.youtube.com/watch?v=lF8NEsl3-kQ

⚠️💥📧 Новая атака на Roundcube Webmail через CVE-2024-37383

🕵️‍♂️ В статье описано, как злоумышленники используют уязвимость CVE-2024-37383 в Roundcube Webmail для атак на почтовые серверы. Roundcube — популярный веб-клиент для электронной почты с открытым исходным кодом, широко используемый в коммерческих и государственных организациях, что делает его привлекательной целью для атак.

Авторы подробно разбирают механизм эксплуатации уязвимости, связанной с некорректной обработкой SVG-элементов в письмах. Уязвимость позволяет злоумышленникам выполнять произвольный JavaScript-код в контексте пользователя, что может привести к краже учетных данных и переписки.

Важно отметить, что уязвимость была устранена в мае 2024 года, но многие организации до сих пор не обновили свои версии Roundcube. Это подчеркивает необходимость своевременного обновления ПО, особенно критически важного для безопасности.

💡 Организациям рекомендуется немедленно обновить Roundcube до последней версии и провести аудит безопасности своих почтовых серверов. Особое внимание следует уделить защите от XSS-атак и мониторингу подозрительной активности.

Кто бы мог подумать, что лишний пробел может открыть дверь для хакеров!

Автор: ptsecurity
Оценка: 9 — актуально и детально.

#cybersecurity #phishing #CVE #Roundcube

🔓🔍🔑 Кража токенов доступа пользователей через open redirect на Streamlabs

🚀 Тип уязвимости: Open Redirect
💰 Баунти: Неизвестно
📊 Критичность: Средняя

🕵️‍♂️ Анализ уязвимости
В отчете описывается уязвимость open redirect на сайте Streamlabs, которая позволяет злоумышленнику похитить токен доступа аутентифицированного пользователя. Уязвимость возникает из-за манипуляций с параметром перенаправления 'r' в глобальной точке идентификации. Злоумышленник может зарегистрировать доступный домен, такой как dragynslair.live, чтобы перехватывать токены доступа. Эти токены позволяют получить доступ к данным пользователей через API Streamlabs. Исследователь утверждает, что степень критичности должна быть выше, учитывая простоту эксплуатации и возможное влияние на конфиденциальность пользователей.

#OpenRedirect #Medium #Streamlabs

Подробный разбор репорта доступен по ссылке

🐞⚠️🖥 От чтения файлов до RCE: анализ CVE-2024-43044 в Jenkins

💡 В статье рассказывается об уязвимости CVE-2024-43044 в Jenkins, которая позволяет агентам читать произвольные файлы с контроллера и эскалировать привилегии до удалённого выполнения кода (RCE). Авторы подробно описывают, как злоумышленник может использовать эту уязвимость для обхода системы контроля доступа и захвата сервера Jenkins.

Статья тщательно анализирует архитектуру Jenkins и объясняет, как взаимодействие между контроллером и агентами может быть скомпрометировано. Особое внимание уделяется механизму загрузки JAR-файлов и тому, как недостатки в методе fetchJar позволяют получить доступ к файлам контроллера.

☝️ Интересно, что уязвимость позволяет обойти систему контроля доступа "Agent -> Controller", включенную по умолчанию с версии Jenkins 2.326. Это подчёркивает важность своевременного обновления систем и строгого контроля доступа между компонентами.

К тому же, авторы предоставляют детальный разбор эксплойта, показывая, как можно получить доступ к конфиденциальной информации и выполнить удалённый код на сервере. Это демонстрирует серьёзность уязвимости и необходимость принятия мер по её устранению.

🔥 Эксплойт использует различные подходы, включая получение куки "remember-me" для подделки сессии администратора и выполнение команд через консоль скриптов Jenkins. Данный пример подчёркивает важность защиты не только основных сервисов, но и вспомогательных компонентов, таких как агенты и каналы связи.

Автор: Adm1ngmz
Оценка: 9 - детальный и актуальный анализ

#cve #rce #jenkins

🔍🔓📚 Уязвимость: Доступ к любому курсу через перебор кодов

📂 Тип уязвимости: Information Disclosure
💰 Баунти: Неизвестно
⚠️ Критичность: Высокая

🕵️‍♂️ Анализ уязвимости
В отчете описана уязвимость на платформе Khan Academy, где с помощью Yahoo dorking можно получить доступ к кодам классов. Это позволяет без приглашения учителя записаться на любой курс. Используя специальный поисковой запрос, можно найти коды классов и создать учетную запись студента для присоединения к классу. Данная уязвимость приводит к несанкционированному доступу к курсам и потенциальному неправомерному использованию конфиденциальной информации учителей. Проблема классифицирована как Information Disclosure из-за доступности данных через поисковые системы. Попытки блокировать URL временно решают проблему, но требуется постоянное решение для предотвращения индексации.

#InformationDisclosure #High #KhanAcademy

Подробный разбор репорта доступен по ссылке

🛠️🔍🔓 process.binding() can bypass the permission model through path traversal

📂 Тип уязвимости: Path Traversal
💰 Баунти: Неизвестно
⚠️ Критичность: Высокая

🔍 Анализ уязвимости
В Node.js 20.x обнаружена уязвимость, связанная с устаревшим API `process.binding()`, которая позволяет обойти модель разрешений через обход путей. Это затрагивает пользователей, использующих экспериментальную модель разрешений в Node.js. Злоумышленник может манипулировать файловой системой, создавая несанкционированные директории, что позволяет обходить проверки безопасности, предназначенные для ограничения доступа и изменения файлов. Это представляет значительный риск безопасности, так как подрывает целостность модели разрешений.

#PathTraversal #High #Nodejs

Подробный разбор репорта доступен по ссылке

🔓🖥🔑 Брутфорс паролей на Kali GNU/Linux с hydra, medusa и ncrack: простое руководство

💡 В статье рассказывается о том, как установить, настроить и эксплуатировать уязвимую машину Metasploitable2-Linux в Kali GNU/Linux, используя инструменты для брутфорса hydra, medusa и ncrack.

Автор делится своим опытом взлома уязвимого хоста в виртуальной машине, подробно описывая каждый шаг от установки до эксплуатации. Статья содержит полезную информацию для начинающих специалистов в области информационной безопасности и пентестинга.

В первой части статьи подробно описывается установка и настройка виртуальной машины Metasploitable2-Linux в VirtualBox, включая настройку сети и необходимых параметров. Во второй части приводятся примеры использования утилит hydra, medusa и ncrack для проведения атак методом грубой силы на различные сервисы, такие как SSH, FTP и Telnet.

⚠️ Стоит отметить, что автор акцентирует внимание на законности использования подобных инструментов и предупреждает о возможных юридических последствиях нелегальных действий. Он рекомендует использовать уязвимую машину исключительно в образовательных целях и для тестирования.

🚀 Для тех, кто хочет погрузиться в практическое изучение методов пентестинга и освоить инструменты для брутфорса, эта статья может стать отличным отправным пунктом.

Автор: KoshelevGeorge1989
Оценка: 7/10. Полезно для начинающих пентестеров.

#hacking #infosec #bruteforce #virtualization

🎮💡🔍 Изменение в процессе передачи данных к платежному провайдеру Smart2Pay

🔍 Тип уязвимости: Business Logic Errors
💰 Баунти: 7500
⚠️ Критичность: Критическая

🕵️‍♂️ Анализ уязвимости
В отчёте описана критическая ошибка бизнес-логики, влияющая на метод оплаты Smart2Pay на платформе Steam. Манипулируя адресом электронной почты, связанным с аккаунтом Steam, и перехватывая POST-запрос к API Smart2Pay, злоумышленник мог изменить сумму транзакции без изменения хеша подписи. Это позволяло платить минимальную сумму, пока система обрабатывала более высокую сумму, что приводило к несанкционированному пополнению баланса Steam Wallet. Такая уязвимость могла серьёзно нарушить рынок Steam, позволяя злоумышленникам генерировать и продавать игровые ключи по более низким ценам, что влияло на доходы и стабильность рынка.

#BusinessLogicErrors #Critical #Steam

Подробный разбор репорта доступен по ссылке

🛡️🔓💥 UAF on JSEthereumProvider

🔍 Тип уязвимости: Use After Free
💰 Баунти: 3000.0 USD
🔥 Критичность: Критическая

🛠️ Анализ уязвимости
В отчёте выявлена критическая уязвимость Use After Free в JSEthereumProvider реализации Ethereum-кошелька браузера Brave. Уязвимость возникает при подключении кошелька и создании нового объекта ethereum. Ошибка находится в функции JSEthereumProvider::Install, где неправильно связывается объект callback, предполагая, что ethereum._metamask не может пережить ethereum. Уязвимость может быть использована для выполнения кода в процессе рендеринга путём удаления объекта ethereum и обращения к методу isUnlocked() на ethereum._metamask. Было предоставлено доказательство концепции (PoC), которое изначально имело проблемы, но затем было доработано для стабильного воспроизведения сбоя.

#UseAfterFree #Critical #Brave

Подробный разбор репорта доступен по ссылке

🛡🔒💥 Как невинные правила файрволов могут привести к проблемам безопасности

⚠️ В статье рассказывается о том, как простой запрос на изменение правил файрвола может обернуться серьезными проблемами безопасности. Автор рассматривает три трюка, которые разработчики могут использовать для обхода сетевых ограничений.

Статья подробно описывает возможные атаки и инструменты, которые злоумышленники могут применить при неосторожном открытии портов и доступов. Пошаговые примеры и детальные объяснения делают материал полезным для специалистов по информационной безопасности.

Стоит всегда помнить, что даже небольшие изменения в конфигурации безопасности могут иметь серьезные последствия. Взаимодействие между ИТ-отделом и службой безопасности должно быть тщательно продумано и контролируемо.

🚨 Без надлежащего контроля доступов внешние разработчики могут получить возможности, о которых вы даже не подозреваете. Поэтому важно не только технически реализовывать ограничения, но и понимать риски, связанные с человеческим фактором.

Никогда не думал, что простая просьба может обернуться такими проблемами!

Автор: Cloud4Y
Оценка: 8

#security #infosec #firewall #proxy

🛡️🔍🚫 Improper input validation in projects leads to fully deny access to project resources

🔒 Тип уязвимости: Improper Input Validation
💰 Баунти: Неизвестно
📊 Критичность: Средняя

📉 Анализ уязвимости
Отчет описывает уязвимость в функциях управления проектами в SEMrush, где неправильная проверка входных данных позволяет атакующему установить имя тега в null. Это вызывает критическую ошибку на стороне клиента, что приводит к полной потере доступа к ресурсам проекта для пользователей с затронутым тегом. Атакующий может воспользоваться этим, пригласив жертву в саботированный проект или имея права на редактирование в общем проекте, что приводит к отказу в обслуживании для жертвы без их участия. Это представляет значительный риск для бизнеса, полагающегося на SEMrush для управления проектами.

#ImproperInputValidation #Medium #SEMrush

Подробный разбор репорта доступен по ссылке

🕵️‍♂️🐞🎯 Секреты успешной охоты на баги: Полный гайд

🐞 В статье рассказывается о методологии баг-баунти для начинающих и опытных охотников за уязвимостями. Автор делится своим четырёхлетним опытом в сфере веб-хакинга и подробно описывает важные аспекты успешной работы в этой области.

Статья охватывает множество тем, включая инструменты, подходы и образ мышления хакера. Она будет особенно полезна тем, кто хочет структурировать свой подход к баг-баунти и повысить эффективность своих исследований.

📌 Особенно интересно было узнать о важности ведения заметок и использования автоматизации в процессе поиска багов. Также автор подчёркивает значимость правильного настроя и постоянного саморазвития.

💡 Не менее важно понимать, что баг-баунти — это не лёгкий способ быстро заработать, а навык, требующий времени и упорства. Новичкам стоит быть терпеливыми и настойчивыми, а опытным хакерам — продолжать совершенствоваться и делиться знаниями с сообществом.

🔥 Автор также раскрывает некоторые ошибки, которых стоит избегать, такие как попытки искать определённые паттерны уязвимостей вместо наблюдения за реакцией приложения. Он советует хакерам быть более наблюдательными и не ограничиваться стандартными подходами.

Автор: breakmirrors

Оценка: 9 — Подробно и полезно для всех уровней хакеров

#bugbounty #bughunting #hacking

🔑🔍🔓 Oauth Misconfiguration Lead To Account Takeover

⚠️ Тип уязвимости: Improper Authorization
💰 Баунти: Неизвестно
📊 Критичность: Средняя

🔎 Анализ уязвимости
В отчете выявлена уязвимость в конфигурации OAuth на reddit.com, позволяющая неавторизованным пользователям получить доступ к чужим аккаунтам. Злоумышленник может захватить аккаунт жертвы, войдя через Gmail жертвы, обходя методы верификации. Эта ошибка позволяет злоумышленникам эксплуатировать механизм OAuth, который должен разрешать доступ только при правильной аутентификации. Уязвимость серьезна, так как для захвата аккаунта требуется лишь адрес электронной почты жертвы, что может поставить под угрозу конфиденциальность и безопасность пользователей.

#ImproperAuthorization #Medium #Reddit

Подробный разбор репорта доступен по ссылке

🎯🛡🔍 Stored XSS + CSRF in "apellido" value

⚠️ Тип уязвимости: Stored Cross-Site Scripting (XSS) и Cross-Site Request Forgery (CSRF)
💰 Баунти: Неизвестно
📊 Критичность: Средняя

🧐 Анализ уязвимости
Отчет описывает уязвимость типа Stored XSS в сочетании с CSRF в поле 'apellido' формы. Злоумышленник может внедрить вредоносные скрипты, которые выполняются при доступе пользователя к затронутой странице. Эта уязвимость в комбинации с CSRF позволяет атакующему изменить адрес электронной почты жертвы, что потенциально ведет к захвату аккаунта. Влияние значительное, так как уязвимость обходит меры безопасности, такие как 'ck_oldpass'.

#XSS #Medium #Mars

Подробный разбор репорта доступен по ссылке