Всем привет, меня зовут Багхантер

Пост для новых подписчиков.

Я уже больше 10 лет как ломаю разные приложения и сайты. В социальной сети ВКонтакте я нашел уже сотни уязвимостей, четко и равномерно двигаюсь к первому месту в лучшей, по моему мнению, программе на лучшей, по моему мнению, багбаунти платформе Standoff 365. Одно дело говорить какие-то слова, другое дело - делать. 10 марта 2020 года я устроился на работу в Positive Technologies, сейчас получается я уже больше 5 лет работаю и занимаюсь информационной безопасностью. Совсем забыл про эту дату, но эта дата для меня много значит. Мне нравится дело, которое я делаю. Я нашел себя. С момента выхода ChatGPT я не написал ни одной строчки кода своими руками - я vibe coder. Я горжусь этим. Мой блог про информационную безопасность читают тысячи человек, а я периодически могу написать тут какую-то ерунду [[мои подписчики привыкли]]. Мой мем "сотни, а может быть даже тысячи" в сообществе я слышу постоянно - у меня случайно получилось сделать мем, который знает каждый. Теперь даже если я попрошу чтобы про мем никто не вспоминал - все-равно все про него будут вспоминать. Я благодарен всем старым и новым подписчикам. И благодарен тем кто еще не подписался - подпишутся.

всем хорошего настроения

Начинаем в багбаунти: как найти уязвимость, за которую тебе заплатят

В новом выпуске «Начинаем в багбаунти» Петр Уваров, руководитель направления VK Bug Bounty, и Анатолий Иванов aka c0rv4x, руководитель направления Standoff Bug Bounty, обсудят, как же находить уязвимости, которые реально приносят деньги.

Видео будет полезно тем, кто хочет узнать о типовых ошибках новичков, критериях импакта и подводных камнях. В конце выпуска будут советы о том, где практиковаться и на чем учиться искать самые популярные уязвимости.

💬 Что еще?

• Почему одни баги засчитывают, а другие — нет?

• Что делать, если отчет отклонили, но ты уверен в его ценности?

• Как раскрутить уязвимость, чтобы ее приняли и за нее заплатили?

В общем, отличный контент для тех, кто хочет попробовать себя в багбаунти или освежить свои знания.

Смотрите ролик на любой удобной платформе:

📺 YouTube 📺 Rutube 📺 VK Видео

🐫🤯☀️Я партнер PHD

И получается мой кот Пашка тоже. Мы коммьюнити-партнеры PHD. Я решил проверить действительно ли это так и перешел по ссылке https://phdays.com/ru/. После того как я пролистал страницу ниже я увидел там свой логотип - он же и спойлер к дизайну футболок, которые я скоро буду печатать. На PHD я постараюсь снять много крутого материала для ТикТок - сейчас я столкнулся с такой проблемой, что нарезчикам почти нечего нарезать [[материала мало]], а значит нужно где-то взять материал. Скоро будут новые тиктоки, цель - набрать миллион просмотров.

всем хорошего дня и отличного настроения

PHD в этом году

500 спикеров официально подтверждено! Это невероятные просто цифры, настоящий уровень мероприятия - вот он. Делегации из 41 государства посетят PHDays fest в этом году. В Лужники приедут уважаемые люди из стран Латинской Америки, Африки, Ближнего Востока и Азии [[весь мир]]. Уверен, что тысячи человек из России придут посмотреть, послушать доклады и поучаствовать в конкурсах. Мне особенно интересно будет посетить доклады от иностранных исследователей про Багбаунти, задать вопросы. Программу уже частично опубликовали. Ну и в конкурсах, надеюсь, также поучаствовать сам.

🕷 Эксплуатация Vary в дикой природе

Заголовок HTTP-ответа Vary указывает, какие части запроса нужно учитывать при создании ключа кэша. Это помогает предотвратить атаки вроде cache poisoning.

В некоторых кейсах значения заголовка Vary могут указывать, доверяет ли приложение пользовательскому вводу или отражает его в ответе.

➡️ Начальный запрос:

GET / HTTP/1.1
Host: redacted.com

➡️ Ответ сервера:

HTTP/1.1 200 OK
Server: Apache/2.4.37
Vary: X-Forwarded-Host, Origin
Content-type: text/html; charset=utf-8
Connection: close
Content-Length: 11512

Как видно, в ответе есть заголовок Vary, в котором указаны X-Forwarded-Host и Origin. Используем эту информацию, чтобы проверить, доверяет ли приложение пользовательскому вводу:

GET / HTTP/1.1
Host: redacted.com
X-Forwarded-Host: example.com

➡️ Ответ сервера:

HTTP/1.1 200 OK
Server: Apache/2.4.37
Vary: X-Forwarded-Host, Origin
Content-type: text/html; charset=utf-8
Connection: close
Content-Length: 11509



...

...


Что это значит? Сервер доверяет X-Forwarded-Host — он напрямую попадает в HTML. Это открывает возможность использовать X-Forwarded-Host для поиска аномального поведения.

Если в некоторых ответах X-Forwarded-Host используется без добавления в Vary, то кэш можно потенциально отравить.

Это может привести:

— К SSRF, если заголовок прокидывается внутрь backend-запросов.
— Отравлению кэша, если Vary не всегда прописан или используется неправильно.
— Desync-атакам, особенно в сочетании с другими отражёнными заголовками.

#техники

Всем привет, меня зовут vibe coder Багхантер

Никто так и не смог сломать мой сайт с момента запуска. Сайт как работал, так и работает. Аптайм 99%. Ломают регулярно, в основном сканят директории. Я благодаря этому узнаю о крутых техниках и собираю свой fuzz-list. Сканерщики ломают. Alex Shev ломал вручную и принес пару дыр - но на пользователях это бы никак не сказалось, критичного ничего не было. Скоро я сделаю раздел статей [[после PHD]] и там надеюсь Alex Shev про это расскажет. Короче сайт безопасен и это меня, как специалиста по информационной безопасности, радует. Но я уверен что есть там такие дыры, о которых я не знаю. Ни один сайт на 100% никогда не может быть безопасен. Приглашаю всех ко взлому, кто взломает - подарю футболку. Никаких ограничений нет.

eh.su/rating

Всем спасибо! Классная цифра

🔥 Закрытый митап для багхантеров

Собираем комьюнити, чтобы без лишней официальщины, камер и трансляций поговорить о главном — багах и настоящей практике. Никакой воды. Только свои.

Митап пройдет 24 апреля, в 18:00 (мск) в Москве. Формат только офлайн, без трансляций и записей, а главное — лампово, свободно и по делу.

☀️ Что в программе?

• Анатолий Иванов с вводным словом о том, куда движется багбаунти и что нового будет в этом году.
• Представители компаний, которые вышли на платформу, — расскажут о том, как работают с репортами и на что стоит обращать внимание при поиске багов.
• А также приглашенные талантливые багхантеры ratel_xx, топовый исследователь и специалист, и Михаил Ключников (n1), автор многих CVE и 0-деев, который сейчас работает в PT SWARM. Они расскажут о своем опыте и выступят с техническими докладами.

💬 Для кого?

Для активных участников багбаунти-программ, пентестеров и тех, кто живет в мире уязвимостей.

💡 Как попасть?

Нужно зарегистрироваться.

👉 Количество мест ограничено — 50 человек. Если мест не хватит — не переживайте, мы никого не забудем! Это только первый митап, серия продолжится. Всем, кто не попал, дадим приоритет в следующий раз.

Хотите выступить или есть вопросы? Тогда пишите на почту meetup-bb@standoff365.com, (Толю не мучайте).

Через 10 минут начнется стрим с хакерами из Synack и HackerOne!

Смотреть трансляцию можно на ютубе. Готовьтесь задавать свои вопросы гостям!

Для тех, кто не успеет, запись стрима будет сохранена по этой же ссылке.

H1 регулярно инвайтят в приватки. В день может прилететь несколько штук [[есть что ломать]]. Причем приватки такие от известных сайтов. Странно, что меня инвайтят туда, учитывая сколько уже я там у них не багхантил.
Но я в проги не иду - ломаю только ВКонтакте. Потом буду выбирать следующую прогу)

🔥 Напоминаем про стрим с хакерами из Synack и HackerOne!

Который пройдет 15 апреля в 19:00 (мск) в нашем канале коммуникации. На ваши вопросы ответят хакеры Hussein Daher и Nikhil "Niksthehacker" Shrivastava.

На стриме гости расскажут, как они пришли в багбаунти, на каких уязвимостях они фокусируются, и поделятся самыми впечатляющими инсайтами и лайфхаками.

А пока прикрепляем видео от гостей, в котором они приглашают вас на стрим!

Итоги голосования в рейтинге багбаунти программ eh.su/rating

Рейтинг программ сформирован. Всего в нем на текущий момент 229 программ с двух площадок. Пользователи отдали за последние 30 дней 1542 голоса. Некоторые из них заходили почти каждый день, чтобы отдать свои голоса. Также пользователи оставляли свои комментарии, а вендоры на них отвечали [[спасибо Standoff 365 и Timeweb]] - всего сейчас 36 штук комментариев - тоже считаю не плохой результат. Ну и какие итоги?

ТОП-1 программа - Innostage
ТОП-2 программа - ВКонтакте (здесь голосование было самое активное, это самая популярная программа на сайте)
ТОП-3 программа - Ситидрайв

Как и обещал, ТОП-3 голосующих и два человека, которые голосовали хоть раз - получат свои призы [[сегодня я со всеми свяжусь]].

Всем спасибо за поддержку и хорошего настроения всем! 🙂 Делаем багбаунти лучше!

По моим подсчетам на скрине где-то +-70к) + хорошее настроение на день

🎙🧼🎤Первое что я сегодня напечатал - это эта мыльница. Печаталась примерно 1.5 часа. Для подписчиков думаю пока что печатать, хочу что-то такое, чем люди пользоваться будут. Ну например, фирменная конфетница «Багхантер». Можно еще Powerbank собственного изготовления напечатать [[корпус для него]]. Каждая вещь будет в моём стиле, в ограниченном количестве, номерная и сделанная моими руками. А вообще мечтаю напечатать дрон или электродвигатель - но не знаю зачем они подписчикам. Или вообще можно какое-то крутое устройство на основе Raspberry Pi сделать. Я в этом мастер, и про Arduino знаю. Недавно, вот например, из обычной рации сделал цифровой передатчик с шифрованием. 8 бит за один импульс. Думаю пока.

Купил 3D принтер. Теперь сам буду печатать подписчикам разный крутой мерч и раздавать на конфах 👍 сейчас думаю над крутыми идеями.

С Днём космонавтики! 12 апреля 1961 года Юрий Гагарин первым в истории покорил космос и навсегда изменил представление о границах возможного. Пусть его солнечная улыбка и смелость вдохновляют нас на подвиги!

🥳👍😂 Личный кабинет BugBounty VK

Баунтипасс стал удобным - не надо теперь листать отчеты и узнавать сколько ты там накопил бонус. VK сделали специальный сайт, где всё можно узнать [[кстати, статистика на нем обновляется даже быстрее чем на площадке - сначала обновляется накопленный бонус, потом на платформе прилетает выплата]]. За всё время пока я багханчу, не помню, чтобы кто-то что-то похожее вообще делал из вендоров. В мире вообще есть такое, кто в курсе? Не хватает только промокоды чтобы тут отображалась и подарки всякие, которые ты уже заработал или сколько до подарка осталось. Но думаю это всё впереди. Ну а я спокойно двигаюсь к 1 месту в программе ВКонтакте. Запросил еще 5 дисклозов, а пару дней назад одним из вечеров решил зайти немного и поломать социальную сеть до первой баги - повезло и минут через 10 поисков нашёл XSS. Отрепортил.

всем хорошего настроения и отличных выходных

⏺Встречайте нового главреда Cyber Media — Кирилла Каримова

Кирилл много лет писал про ИТ и кибербезопасность для ведущих федеральных СМИ, информагентств и отраслевых медиа, а до прихода в Cyber Media руководил пресс-службой ИТ-Комитета Государственной Думы.

💬 Вот что он говорит о новом этапе:

Рад присоединиться к команде Cyber Media в такой важный для отрасли период. Уверен, что тот высокий темп, который был взят проектом, будет только нарастать. Нам есть о чем рассказать, наш контент востребован у аудитории, а последняя растет год от года. Интерес к кибербезопасности давно вышел за пределы отрасли. Сегодня эту тему обсуждают не только в профессиональной среде ИБ, но и на всех уровнях общества — от граждан, которые хотят себя защитить от кибермошенников, до государства, ставящего в приоритет задачу укрепить информационную безопасности страны на фоне растущего массива кибератак.

🔍 Пять простых способов найти баги в веб-приложении с GraphQL

Нашел хост GraphQL? Это тот самый строго типизированный язык запросов, который разработчики используют для простого извлечения данных.

💡 Мини-чек-лист для багхантера:

☑️ Запускаем introspection-запрос — получаем карту всех типов, запросов и мутаций.
☑️ Визуализируем структуру через GraphQL Voyager — это упростит анализ.
☑️ Используем BatchQL или расширение InQL — ищем IDOR, SQL-инъекции, SSRF и др.
☑️ Проверяем на CSRF, особенно если авторизация на основе cookie.
☑️ Тестим обход rate limit и DoS через батч-запросы.

🚀 Разберем подробнее

1️⃣ Introspection-запрос

Если включен — bingo. Получаем всю схему: типы, запросы, мутации. Собранную структуру удобно анализировать через GraphQL Voyager: он отлично фильтрует мутации и показывает архитектуру API.

2️⃣ Introspection отключен?

Не беда. GraphQL-серверы вроде Apollo часто поддерживают автодополнение: они подсказывают поля даже без схемы.

Вручную перебирать — боль, поэтому подключаем Clairvoyance: он восстанавливает схему даже без introspection.

3️⃣ CSRF

GraphQL сам по себе не защищен от CSRF. Если сессии на cookie, а не через Authorization-заголовок, — риск высокий. Пример: можно подделать запрос от пользователя без его ведома.

4️⃣ Обход лимитов

Многие лимиты считают HTTP-запросы, а не количество вложенных GraphQL-запросов.

GraphQL позволяет использовать алиасы: шлем кучу запросов в одном теле, сервер в шоке, лимит не триггерится.

5️⃣ DoS через батч-запросы

Если сервер не ограничивает число обработанных запросов в одной пачке — мы просто заваливаем его ресурсоемкими мутациями. Это может легко положить сервис.

💡 Автоматизация:

• BatchQL — проверка батчей, мутаций, SSRF, SQLi, IDOR и прочего.
• GraphQL Cop — делает 10+ тестов безопасности, включая CSRF.
• InQL — расширение для Burp Suite, идеально интегрируется и помогает в перехвате GraphQL-запросов.

P. S. При подготовке поста вдохновлялись статьей багбаунти-площадки Intigriti.

🤑🤡💳 XSS в чате

Наверное одно из самых опасных мест для XSS - это личные сообщения ВКонтакте. Вот так и получилось - в функционале импорта товаров, заливая специально сформированный XML с пэйлоадом в атрибуте, удалось найти эту уязвимость. Не было фильтрации. Потом выяснилось, что сообщение еще можно было и переслать [это делает дыру еще опасней]. Сами знаете, к чему может привести XSS в такой большой социальной сети.

Совет:

подпишитесь уже на мой канал и включите эти уведомления, чтобы не пропустить посты о моих лучших находках

❤️🛍✌️ как получить скрытых подписчиков

Мониторил всякие тестовые группы разработчиков в социальной сети ВКонтакте, [чтобы найти какой-то новый функционал или старый, о котором я не знаю] - в одной из групп были скрытые подписчики. Меня это конечно же не устроило, я решил байпасить это окошечко. Соврешенно случайно попалась эта ссылка https://vk.com/search/people?group_id=219881844 - подставил туда айди и подписчики группы раскрылись. Получил 26 000 ₽ на ровном месте.

Совет:

иногда полезно посмотреть тестовые группы разработчиков, или любой другой функционал где разработчики что-то тестируют - это помогло найти мне очень много уязвимостей

Если что, сверху не реклама. Сергей Белов и Олжас Сатиев сделали крутой выпуск KHS Talks [первый, как я понял], решил поддержать. Общался с ними в жизни, когда ездил на KazHackStan - оказались крутые и веселые ребята. Так что всем рекомендую посмотреть!

если будет реклама - поставлю метку

KHS Talks: Сергей Белов и Олжас Сатиев о мифах в кибербезопасности.

KHS Talks — подкаст о кибербезопасности, где мы простым языком говорим о том, что на самом деле важно. Для обычных пользователей и для бизнеса — без сложных терминов, но по делу. Обсуждаем всё: от новостей до трендов и реальных кейсов.

В пилотном выпуске вместе с нашим гостем Сергеем Беловым, директором по информационной безопасности, мы поговорим о мифах, которые до сих пор живут в сфере ИБ. Что из этого уже давно неактуально?

1. Мифы о кибербезопасности. 2025 год: какие есть проблемы?
2. Взломы в 2010-ых. Время без https
3. За 15 лет поменялось многое. TLS сертификат
4. Можно ли пользоваться публичным Wi-Fi? Виртуальные карты. Как догонять людей с помощью Wi-Fi
5. Смена паролей. 12345Аа!
6. Режим Инкогнито в браузерах
7. Антивирусы. Нужен ли нам отечественный антивирус?
8. Компьютерные клубы. Риск взломов
9. DLP и Кибербез. Мониторят ли компании сотрудников?
10. Автозаполнения тогда и сейчас
11. Безопасна ли продукция Apple? Вирусы для MacOS
12. VPN, как дополнительное место атаки
13. Расширения в браузерах и Cookies
14. Евросоюз станет лидером в кибербезопасности?
15. Кибербезопасность — не тренд, а фундамент

Смотрим на YouTube канале:

https://youtu.be/QFotK9T8Mig?si=22fjDO0pJiU7BDFX

Слив статистики сайта https://eh.su/rating за последний месяц.

😎🎵😐 Реклама в канале Багхантер

В последнее время в личные сообщения мне пишут очень много людей [по любым поводам]. Более того, в личные сообщения пишут и моим друзьям. Я решил сформировать новый прайс-лист и начать продавать рекламу во всех своих каналах. В нём можно найти почту, по которой можно со мной связаться и закинуть предложения о рекламе или взаимовыгодном сотрудничестве.

Дублирую почту сюда. Пишите для обсуждений!

bughunterads@gmail.com

Всем привет!
Если этот пост опубликуется, значит канал разблокировали🎉

Хотел сказать огромное спасибо всем кто помог с решением вопроса и просто приходил в личку со словами поддержки🙏

😎😤🤪 ХХС

При написании этого отчета вдохновился отчетами багхантера linkkss. Еще со времен HackerOne помню что он называл свои отчеты коротко и ясно: CSRF, XSS. В спешке, пока пытался составить репорт, перепутал одну букву и получилась ХХС. Ну а про саму уязвимость - это была классическая XSS в уведомлении, ничего выдающегося и сложного. Удивило место где она была, достаточно было просто вставить в первое попавшееся поле '">, потом нажать на кнопку и отрабатывал JS-код.

Совет:

Если на сайте реализованы уведомления (всякие всплывающие окошки) - имеет смысл попробовать внедрить payload туда. По своему опыту знаю, что там очень часто бывают XSS.

😱❔🤨 +!++@+@#!$+!@$#+!@+#$РАСКРЫТИЕ ПОДПИСЧИКОВ И НАЗВАНИЯ ЧАСТНЙО ГРУППЫ!+!++@+@#!$+!@$#+!@+#$

Вот эту багу удалось найти очень легко. Перемещался кликами по поиску ВКонтакте и увидел такую ссылку - https://vk.com/search/people?c[group]=ид_какой-то_группы. Я знаю что группы в социальной сети ВКонтакте начинаются с минуса обычно, но тут минуса не было. Для открытой группы я таким образом получил участников. Сразу появилась идея - а что если подставить туда ид частной группы? Подставил ид 111 и ничего. Потом добавил минус и раскрылись все участники частной группы, аватарка и название. Так и не понял почему это работало...

Совет:

ставьте минус везде, даже если вам кажется что он тут не нужен

🤯🐥🚨 по этой ссылке https://vk.com/market-219620653?format=yml раскрываются товары частной группы для всех в интернете

Когда искал эту дыру в очередной раз доказал себе, что просто стоит немного посмотреть по-шире. Там где не смотрели другие багхантеры. В итоге нашел её через сторонний сервис. Можно было легко и просто получать товары для любой частной группы - кроме информации о товарах ничего не возвращалось, к сожалению. А функционал нужен был для того, чтобы легко, собственно, эти товары и подтягивать в свой рекламный кабинет.

Совет:

Внимательно ищите и проверяйте различные функционалы импорта/экспорта - там часто бывают интересные баги.

А вот здесь дал свой комментарий по этому поводу. VK багбаунти топ!

🖥 Вы просили — мы открыли!

Стартуем с практикой раскрытия отчетов от багхантеров! На платформе Standoff Bug Bounty уже доступны первые 7 отчетов, подготовленные cutoffurmind, kedr и circuit.

Делимся инсайтами авторов🔹

circuit:
«Начинающие багхантеры должны как-то учиться. Учиться на чужих примерах — это отличный вариант. Да и программы будут получать больше репортов после дисклозов, мне так кажется. Кого-то эти отчеты смогут мотивировать на поиск уязвимостей».

cutoffurmind:
«Это редкий вариант эксплуатации blind RCE, когда на выходе имеем только exit status код процесса. А еще уязвимость была найдена после анализа исходного кода проекта на GitHub».

kedr:
«Помимо обмена опытом (а большая часть багбаунти — это изучение находок других хантеров), дисклозы создают ощущение «движухи» и подталкивают тебя к тому, чтобы тоже пойти и потыкать программу. Кроме того, можно посмотреть, как компания оценивает уязвимости и высчитывает критичность — ведь одна и та же XSS может быть как medium, так и high-critical».

🔹 Поддерживаем мнение авторов — что может быть более вдохновляющим, чем чужой репорт?

🔹Поэтому не собираемся на этом заканчивать, следите за обновлениями — в будущем вас ждут новые дисклозы.

🔹 Надеемся, что опубликованные отчеты натолкнут вас на новые поиски — ждем ваши отчеты в программу VK Bug Bounty!

И не забывайте, что с Bounty Pass можно копить бонусы к выплатам на целый год.

VK Security

#bugbounty #bountypass #reports

Хочешь увидеть открытые отчеты об уже найденных уязвимостях? Теперь у тебя есть такая возможность!

Сегодня VK опубликует 7 открытых отчетов, которые были найдены в программе VK Bug Bounty. Это реальные кейсы, отчеты по которым были сданы через платформу Standoff и которые уже помогли сделать инфраструктуру безопаснее. Теперь они могут помочь и тебе — как источник новых идей и практических решений.

В подборке — 5 отчетов от circuit, отчет от cutoffurmind и отчет от kedr.

⚡️ Что это значит для тебя?
Лучший способ прокачать скил — изучать реальные баги. Разборы найденных в рамках программ VK уязвимостей помогут понять, как мыслит опытный исследователь, на какие детали стоит обращать внимание и какие ошибки обычно допускают компании.

💡 Что дальше?
Следите за обновлениями! В будущем вас ждут новые публикации.

🔥 И, конечно, ждем твои отчеты!
Наши багхантеры не только находят уязвимости, но и получают за них достойные награды. С Bounty Pass от VK можно копить бонусы к выплатам на целый год — так что участвовать в программе теперь еще более выгодно.

Выдели время на изучение отчетов — уверены, это обязательно станет ценной информацией для тебя.

🦾🦾🦾 Пока ехал с офиса, VK успели раскрыть, а подписчики разнести все мои отчеты по интернету и чатикам. Эти отчеты будут читать и через 100 лет, вспомнят тогда что был такой один из самых известных багхантеров (если не самый) в России - circuit

🤑 Эксплуатация IDOR через Path Traversal

Наткнулись на API-эндпойнт, как на первом скрине? Не проходите мимо: вполне вероятно, что перед вами IDOR.

Иногда вместо числового ID разработчики используют ключевые слова вроде me или current. API принимает оба варианта: и current, и 1234. Это делает IDOR-уязвимость менее заметной — но не менее опасной.

☑️ Что пробуем

1. Подставляем вместо current свой ID, например 1234.
2. Запрос проходит? Отлично.
3. Теперь вставляем ID другого пользователя.
4. Если эл. почта чужого аккаунта меняется — уязвимость подтверждена.

🧠 Более сложный пример

В больших проектах часто два API-сервера:
• фронтенд — для клиента;
• бэкенд — для внутренней логики.

Проблема в том, что права доступа проверяются только на фронтенде.

🚀 Подключаем Path Traversal

1. Отправляем /users/current/../1234/profile/email.
2. Фронтенд распознает current как ID пользователя и отправляет запрос на бэкенд.
3. Бэкенд получает путь /users/1234.
4. Проверки нет — можно менять чужие данные.

🎯 Что получаем

Возможность изменить эл. почту другого пользователя или получить доступ к его данным. Это полноценная IDOR-уязвимость, усиленная Path Traversal.

🧩 Вывод

Если API позволяет подставлять ID через ../, me, current (и т. п.) — это повод проверить на IDOR. Особенно если бэкенд не валидирует входные данные.

15 апреля в 19:00 Standoff 365 проведут прямой эфир с двумя крутейшими зарубежными хакерами, которые в общей сумме нашли > 3000 уязвимостей в разных крутых мировых компаниях (типа Google, Microsoft, Tesla). Также пригласили всех желающих, кто хочет задать вопросы хакерам. Чето я не помню, чтобы такие прямые эфиры вообще были до этого - это уникальная возможность придумать и задать свой вопрос. Залечу обязательно послушать и вам рекомендую.

картинку взял отсюда

🐹 Багхантер 🙂 Багбаунти

🔎 Перечисление поддоменов: как расширить поверхность атаки с помощью активных и пассивных методов

Мы решили запустить экспериментальный формат, в котором будем делиться полезными советами от опытных багхантеров — не ежедневно, но регулярно. Начинаем с самой базы — можно унести ее в сохраненки и возвращаться к ней по необходимости. Не забывайте ставить реакции под постом, чтобы мы понимали, был ли материал полезен. А если у вас есть предложения о контенте, не стесняйтесь рассказать об этом в комментариях. Enjoy!

Что делает убитый горем багхантер, который не может найти хоть какую-нибудь зацепку? Правильно — проводит разведку по новой: пассивный и активный поиск поддоменов, брут путей и файлов, использование дорков, исследование используемых в приложении технологий и т. д. Каждая тема здесь достойна отдельного поста, поэтому начнем по порядку с простого — сбора поддоменов.

⭐️ Описанное ниже особенно полезно, когда в скоупе багбаунти-программы есть DNS-записи wildcard (*.domain.tld).

Итак, основная цель — получить как можно больше активов из багбаунти-программы, чтобы сформировать представление об общей поверхности атаки и о работе инфраструктуры.

➡️ Пассивный сбор поддоменов: вы не взаимодействуете с целевым узлом и получаете информацию из открытых источников (DNS-записи, логи сертификатов SSL и TLS или веб-архивы).

Примеры используемых инструментов:

🟢 Censys, Shodan, SecurityTrails, DNSDumpster и другие онлайн-сервисы.

🟢 Инструменты вроде subfinder, amass или waybackurls, которые сами опросят множество публичных баз данных и выведут результат в удобном для вас формате (останется только добавить API-ключи):

$ subfinder -d example.com -oJ domains-example.com.json
или
$ amass enum -d example.com -o domains-amass.example.com.txt -timeout 12 -v


🟢 Google-дорки — это база:

site:*.example.com -site:www.example.com


➡️ Активный сбор поддоменов включает поиск любых поддоменов, которые не проиндексированы публично, но активно используются. Разберемся с ключевыми методами:

🟢 Брутфорс DNS — перебор поддоменов по словарю, который должен быть составлен отдельно исходя из полученных в ходе разведки данных. Про общедоступные словари тоже не стоит забывать (SecLists, fuzzdb, Assetnote Wordlists). Важно не останавливаться на доменах 3-го уровня, а искать дальше. В этом поможет инструмент mksub, с помощью которого можно сгенерировать дополнительные вариации поддоменов:

$ gobuster dns -d example.com -w wordlist.txt
$ mksub -d example.com -l 2 -w dns-wordlist.txt


🟢 Фаззинг виртуальных хостов (vhosts), которые имеют тот же IP-адрес, что и другой домен на веб-сервере. Полезные инструменты для работы — ffuf и wfuzz.

$ ffuf -c -r -u 'https://www.example.com/' -H 'Host: FUZZ.example.com' -w dns-wordlist.txt


🟢 Reverse DNS (rDNS): преобразует IP-адрес в связанное с ним доменное имя. Этот способ особенно полезен при исследовании диапазона целевых IP-адресов. На помощь придут инструменты Linux (dig, host) или общеизвестный dnsx.

$ dig -x 8.8.4.4 +short
$ cat ips.txt | dnsx -ptr -resp-only


➡️ Веб-краулинг с помощью Burp Suite или других инструментов: просто укажите кастомный скоуп, ходите по ссылкам и отслеживайте новые поддомены.

.*\.example\.com$


⭐️ Последняя задача — определить активные веб-узлы и избавиться от фолзов. Самый простой способ — использовать httpx или httprobe. Собираем поддомены в отдельный файл и выполняем:

$ cat domains.txt | httpx -o domains-webserver.txt
или
$ cat domains.txt | httprobe >> domains-webserver.txt


💡 Хотите еще сильнее упростить себе жизнь? Используйте anew для добавления уникальных строк в файл из stdin. Инструмент выводит новые строки в stdout, что делает его немного похожим на команду tee -a.

P. S. При подготовке вдохновлялись статьей от багбаунти-площадки YesWeHack.

На скрине не подкрутить)

...

Более 800 заявок это конечно очень круто 👍

Уже два раза переносят рассмотрение заявки, но пока не отклонили

Спойлер: грандиозная раздача футболок на PHD будет сразу после моего доклада (если его одобрят). Только в течении 10 минут. Такого еще никто не делал!!!

Готовьтесь все!

Сотни, а может быть даже тысячи багхантеров собрались здесь чтобы сделать мир лучше, безопаснее и заработать денег на багбаунти. Представляю Вам чат Багбаунти 2.0

https://t.me/bugbounty_chat

В новом чате будет разделение на темы: Standoff 365, BI.ZONE Bug Bounty, BUG BOUNTY RU


Свои темы предлагайте в комментарии!

Давайте жить дружно!

А если бы вас скрыто шантажировали ребята из конкурирующей компании (не буду пока называть какой) публикацией материалов деликатного характера , вы бы схавали это и замолчали или же сопротивлялись? Багхантеру нужна помощь подписчиков, и надеюсь подписчики меня поймут.

Термос ВКонтакте

Наверное лучший мерч, который мне подгоняли. Я потестировал уже несколько месяцев эту штуковину - и она реально удобная. Можно использовать вместо заварочного чайника, кинул немного заварочки и поставил эту удобнейшую сеточку - через неё не проходят частички чая. А еще этот термос показывает температуру (правда батарейка села). Так что всем рекомендую даже немного денег потратить и купить себе такой, если он вообще продается.

ХЛЕБ - Чай, сахар

Всех с праздником Наурыз, ребята))
У нас прям супер длинные выходные🥹
Наконец можно чутка отдохнуть, но я все равно оформил 2 крита🤝
Видел еще баги, но чот лень репортить

🚀 Простые, но действенные методы разведки для багхантера

В разведке работает простой принцип: чем глубже и качественнее вы ее проведете, тем больше шансов найти уникальные баги.

Почему разведка важна? Дело в том, что каждое веб-приложение по-своему уникально, поэтому подход «в лоб» вряд ли сработает. Мы собрали несколько недооцененных методов, которые можно использовать прямо сейчас и получить профит. При подготовке поста частично использованы материалы статьи Intigriti.

1️⃣ Использование таргетированных словарей для брута неиспользуемых и скрытых хостов, эндпойнтов API, роутов приложения или входных параметров

Собирать словарь под проект может быть важно, потому что каждый разработчик пишет код и называет эндпойнты в своем стиле. У кого-то может быть /users, а у кого-то /show-all-users. Первый путь встретишь в любом словаре, а вот второй — нет. Однако он может встретиться в ходе разведки.

➡️ Алгоритм простой:

• Собираем все домены, пути и параметры с помощью любимых инструментов (katana, URLFinder, waybackurls, LinkFinder, gau) и/или Burp Suite, сохраняем в файл.

• Используем unfurl для парсинга уникальных ключевых данных из stdin:

$ cat urls.txt | unfurl paths
/users
/orgs
/about


• Анализируем результат и обогащаем другими данными.

💡 CeWL также поможет спарсить ключевые слова с целевого ресурса для составления кастомного словаря.

2️⃣ Фаззинг API с использованием различных методов HTTP

Некоторые приложения принимают только определенные HTTP-методы, да и описание API не всегда под рукой. Упростите себе жизнь с помощью следующей команды:

$ ffuf -u https://api.example.com/PATH -X METHOD -w /path/to/wordlist:PATH -w /path/to/http_methods:METHOD


3️⃣ Сканирование с различными заголовками User-Agent

При сканировании или перехвате запросов используйте User-Agent, специфичный для мобильных устройств, а также попытайтесь обнаружить различия в ответах сервера и скрытые фичи приложения. Настроить прокси в Burp сможет даже новичок. В качестве альтернативы можно использовать gospider:

gospider -s "https://app.example.com" -c 3 --depth 3 --no-redirect --user-agent "Mozilla/5.0 (iPhone; CPU iPhone OS 15_1_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/15.0 EdgiOS/46.3.30 Mobile/15E148 Safari/605.1.15" -0 mobile_endpoints. txt


4️⃣ Использование хешей фавиконов для поиска связанных активов

Если ваша цель — небольшая компания, у нее может не быть зарезервированного пула IP-адресов или она регулярно развертывает приложения в облачных сервисах. В этом случае мы все равно можем идентифицировать хосты, которые принадлежат цели, используя хеш фавикона:

• Получаем хеш из URL с помощью Favicon hash generator.

• Используем Shodan для поиска по хешу:

http.favicon.hash:


5️⃣ Поиск устаревших версий JavaScript-файлов

Анализируя интересный JS-файл, всегда просматривайте любые ранее заархивированные версии этого файла с помощью Wayback Machine или CLI-инструментов.

6️⃣ Мониторинг JavaScript-файлов

Если не хотите получить дубликат, отслеживайте изменения в JS-файлах и ищите баги в новом функционале первым. Вам помогут JSMon, Notify и другие инструменты.

7️⃣ Обнаружение скрытых параметров

Скрытые параметры могут позволить управлять поведением приложения и привести к успешной реализации различных сценариев атак. Для выполнения этой задачи помогут: Arjun, ParamSpider, Param-Miner, x8, ParamPamPam.

😎🧠🎸 Как похорошела Москва при Собянине

Честно скажу, раньше был от этих городских камер не в восторге. А сейчас мне даже нравится ;) Смотрю на ситуацию с другой стороны - и ощущаю себя в безопасности. Не каждая технология идеальна, но если с одной стороны на весы положить личную безопасность, а с другой - приватность, то конечно-же безопастность перевесит весы. Так что система «Безопасный город» это крутая технология. Главное чтоб всё было безопасно с точки зрения информационной безопасности!

не сомневаюсь, что всё будет четко!
Музыка - Glycodin Debris & Dogewell - Копошиться и раздражать (AI Cover)

🐹 Багхантер 🙂 Багбаунти

Топ-108 телеграм-каналов в ИБ

Сделали с каналом «Пакет Безопасности» второй рейтинг лучших Telegram-каналов в ИБ-отрасли, расширив выборку и добавив новые категории.

Выбирать лучшие каналы нам помогали ИБ-специалисты, PR-специалисты, маркетологи и журналисты ведущих деловых СМИ. Состав экспертного совета, который голосовал за каналы, опубликуем отдельно. Главный критерий по традиции — контент.

Каналы ранжируются по количеству голосов в своих категориях.

Авторские:

1. Пакет Безопасности
2. Пост Лукацкого
3. Сицебрекс! и Sachok
4. Ever Secure и Технологический болт Генона
5. Солдатов в телеграм, BESSEС, Евгений Касперский
6. ZLONOV, Управление уязвимостями и прочее и Топ кибербезопасности Батранкова

Offensive:

1. Похек
2. Red team brazzers
3. Багхантер
4. Кавычка
5. Егор Богомолов
6. Заметки Слонсера и PRO:PENTEST
7. s0i37_chanel
Поросенок Петр
GigaHackers

Defensive:

1. ESCalator
2. README.hta
3. Blue (h/c)at Café и Security wine (бывший - DevSecOps Wine) и Makrushin
4. Disasm.me channel
5. Четыре луча, AppSec Journey и PurpleBear

Mixed:

1. k8s (in)security
2. Кибервойна и Mobile AppSec World
3. Репорты простым языком
4. Сертификат безопасности
5. Кибербез образование, Райтапы по CTF {2025}, ГОСТ VPN | aveselov.ru, PWN AI, Monkey see, monkey do

Микроблоги:

1. Ильдар Пишет
2. Омский Багхантер
3. Банка пывна и Про ИБ с высоты каблуков и Кибербез Андрея Дугина
4. Двое из Кибермаркетинга
5. CyberBox и NA_SOC
6. Защита персональных данных и не только и SbX | Security by Xyurity

Новостные/агрегаторы:

1. SecАtor
2. НеЛукацкий
3. НеКасперский
4. Утечки информации и Порвали два трояна и Offensive Twitter
5. Об ЭП и УЦ
6. Максим Горшенин | imaxai и RUSCADASEC news: Кибербезопасность АСУ ТП

Корпоративные:

1. Kaspersky
2. Red Security
3. Positive Technologies
4. Борьба с киберпреступностью | F6 и BI.ZONE
5. Innostage
6. РТ-ИБ, ИнфоТеКС, Инфосистемы Джет, 3side кибербезопасности и Echelon Eyes
7. CURATOR, Angara Security, InfoWatchOut

Каналы IT-журналистов:

1. Грустный киберпанк
2. КиберBEZправил
3. Radio Tishina
4. Игнатий Цукергрохер
5. Doomtech
6. Убедился корр. ТАСС, Половников и Девочки/Перцева
7. Точксичная цифра, Первый канал, Электро⚡шок, это Жабин

OSINT:

1. Russian OSINT
2. КиберДед official
3. OSINT mindset
4. Интернет-Розыск I OSINT I Киберрасследования и Schwarz_Osint
5. DanaScully, STEIN: ИБ, OSINT, network worm notes, BeholderIsHere Media HUB
6. Pandora’s box

Юмор/мемы:

1. Cybersecurity memes off
2. Bimbosecurity и Я у мамы SecMemOps
3. #memekatz (https://t.me/memekatz) и Information Security Memes (https://t.me/infosecmemes)
4. Спасите Нарциссо (https://t.me/savenarcisso) и Memes 365 (https://t.me/bugbountymeme)
5. OTSOSINT (https://t.me/ots0sint) и The After Times (https://t.me/theaftertimes) и Вредные советы по ИБ (https://t.me/badofis)

Специальная номинация: канал «Код ИБ»( https://t.me/codeibnews )

@cybersachok

🦾🦾🦾 Два моих канала на 3 месте в двух разных категориях!!!! Всем спасибо кто за меня голосовал!!!!! Есть еще над чем работать, буду стараться!!!!

Ребятам с каналов Sachok и Пакет Безопаности большой респект за проделанную работу!

🆒🔝🏠Розыгрыш в канале Багхантер

Всем привет, меня зовут Багхантер. В честь таких крутых новостей (запуска продажи билетов на PHD) я хочу объявить конкурс в своём канале!!! Я разыграю действительно уникальную вещь - одноразовый дождевик PHD12! Настоящий раритет! Для того чтобы получить этот дождевик надо всего-лишь поставить реакцию и написать комментарий под этим постом. Через две недели я выберу одного случайного победителя и отправлю ему эту уникальную вещь!)

я передам дождевик прямо на PHD тому человеку, кто его выиграет или отправлю через CDEK

🐹 Багхантер 🙂 Багбаунти

🤭🤯☀️ Багхантер на Positive Hack Days

В этом году на PHD я устрою грандиозную раздачу уникальных нейросетевых номерных футболок общей стоимостью в сотни тысяч рублей. Каждая из них будет только в одном экземпляре (так не делал еще никто кроме меня). Помимо эксклюзивного мерча готовлю еще и крутейшие активности для вас. Солнечный день в «Лужниках», топовые доклады и мастер-классы. В этом году на мероприятии будет выступать более 400 спикеров. Уверен, нас ожидает что-то невероятное - приходите. По моей информации продажа билетов в закрытую часть для технических специалистов и бизнеса уже началась.

https://phdays.com/ru/

👀 Запуск первой программы багбаунти как первая любовь — прекрасная, волнующая и не всегда понятная

Чтобы она была взаимной разобраться во всем «на берегу», запускаем серию ламповых оффлайн-митапов Standoff Bug Bounty для заказчиков. Митапы будут проходить прямо у нас — в московском офисе Positive Technologies.

На них можно будет пообщаться с компаниями, у которых уже есть собственные программы, послушать о реальных кейсах, разобраться в форматах багбаунти, понять, какой из них больше всего вам подходит, и, конечно, лично задать экспертам все накопившиеся вопросы.

1️⃣ Первая встреча пройдет 27 марта и начнется в 17:00. Если хотите присоединиться, пишите на почту meetup-bb@standoff365.com: укажите свои ФИО (чтобы мы могли заказать пропуск), компанию и должность. Поторопитесь, заявки проходят модерацию, а количество мест ограничено.

Что планируем обсуждать:

👾 О личном опыте самых импактных находок на багбаунти расскажет Анатолий Иванов, CPO Standoff Bug Bounty.

🛡 Как багбаунти помогает компаниям выстраивать и улучшать процессы AppSec, поделится Светлана Газизова, руководитель направления построения процессов безопасной разработки в Positive Technologies.

🤍 Свой кейс автоматизации «обеления» трафика для багхантеров представит Илья Петров, руководитель отдела кибербезопасности веб-приложений в Okko.

🧮 Как перейти от метода «пальцем в небо» к объективной оценке уязвимостей в багбаунти, объяснит Петр Уваров, руководитель направления VK Bug Bounty.

🏢 Отдельно поговорим об опыте проведения программ багбаунти одним из владельцев государственных систем.

И конечно, оставим время для неформального общения! Ждем ваших писем и вас на митапе!

#StandoffBugBounty
@Positive_Technologies

VolgaCTF в этом году празднует 15 лет! Легендарные соревнования 🆒🥇😎

🗓 До старта VolgaCTF 2025 Qualifier 10 дней

Регистрация на отборочные соревнования VolgaCTF 2025 Qualifier продолжается.
Соревнования будут проходить онлайн, приглашаем к участию команды, формат — task-based.

В этом году VolgaCTF празднует 15 лет. Чтобы попасть на юбилейный финал, который пройдет в сентябре в Самаре, неоходимо пройти отбор VolgaCTF 2025 Qualifier. Ждём всех!

Когда: 29-30 марта, стартуем в 15:00 по московскому времени
Длительность: 24 часа
Регистрация: записаться тут.

🤯🧠😎 Про сайт

За последнюю неделю более чем 500 пользователей посетили страницы моего сайта и сгенерировали около 3500 тысяч просмотров для рейтинга и других страниц. Пользователи просматривают в среднем 5 страниц, прежде чем выйти с сайта - это отличный показатель. Некоторые представители программ (вендоры) уже запросили доступ к статистике и возможности отвечать на комментарии пользователей - я выдал доступы. Мне важно чтобы у пользователей к рейтингу оставалось доверие - поэтому я обсуждаю с представителями платформ как сделать сайт максимально прозрачным и справедливым. Также я внедряю механизмы, чтобы повышать уверенность самих пользователей в справедливости рейтинга. Таким образом были внедрены графики голосов и переходов за последние 7 дней для каждой программы. Вы видите их в прикрепленной фотографии. Я хочу чтобы рейтинг нужен был не только для того, чтобы высказать мнение, хочу чтобы он был одинаково полезен как программам, которые смогут получить себе новых багхантеров, так и пользователям, которые смогут выбрать себе крутую программу.

https://eh.su/vote/vkontakte_vk

Эксперт Владимир Разов обнаружил уязвимость в нескольких моделях роутеров компании D-Link.

Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и рекомендует пользователям перейти на более современные линейки устройств.

⚡️⚡️⚡️Отличный доклад от знаменитого хакера Brotherok. Если кто-то накрутит реакции, я удалю канал 1 апреля.

Нашел Self XSS не сдавайся - Brotherok - ШКИБыть

Сегодня будет следующий доклад.

Кто подкрутил реакции?

⚡️⚡️⚡️ Поддержите моего друга Кибербомжа лайком и репостом. Крутой доклад! 100 реакций под видео и моментально выйдет следующий доклад ;)

Zerocode security v0.7 - Mobile builders - Кибербомж

🚨☀️🆕Для тех, кто ищет работу

У Positive Technologies есть такой канал, вот ссылка на него @ptcareerhub - в нём публикуются вакансии дружественных для Positive Technologies компаний. Вакансии интересные: ищут руководителей, инженеров, аналитиков. Лучше конечно самим почитать, кого ищут. Понедельник - самое время взять себя в руки и устроиться на работу!

всем хорошего настроения

🐹 Багхантер 🙂 Багбаунти

Мой друг Юра Ряднина запустил важный проект — рейтинг програм багбаунти. И мне нравится, что Юра (Багхантер) делает для ИБ-комьюнити такие инициативы за свои деньги, просто потому, что верит в то, что считает важным. Теперь крупные корпорации смогут получить прозрачную и честную информацию по баг баунти и будут тратить бюджеты только на то, что действительно удобно и приносит пользу.

Голосовать пока что можно только при входе через Telegram. Один пользовать может отдать 10 голосов в день за любимые программы.

Кажется, Багхантер бесповоротно поменял правила игры на рынке баг баунти програм, ведь теперь программы, которые получают больше голосов и положительных отзывов, будут получать больше высококвалифицированных специалистов по баг баунти, а значит будут раньше других выявлять баги у крупных компаний и окажутся полезнее с точки зрения информационной безопасности.

Для мотивации голосовать он сделал топ активности, где за каждое место можно получать материальную выплату.

Плюс того, что сервис сделал специалист по багам — сайт не хранит никак личных данных, поэтому утекать там нечему. Бальзам на душу ИБ-спецам.

@cybersachok

Всем спасибо кто сегодня зашел в рейтинг и проголосовал!) И тем кто был на прямом эфире. Также спасибо за комментарии. Результаты как для первого дня - потрясающие, скоро будут цифры 💳

eh.su/rating

https://t.me/bughunter_circuit?livestream

Пост для вопросов и комментариев к прямому эфиру ;)
Пишите в комменты к этому посту.