😍 CyberBox

Созданный, около полугода назад наш с вами канал пробил отметку в 500 подписчиков. Спасибо всем что читаете, следите, комментируете. Дальше - больше. 🔥🔥��


https://t.me/boost/cyberboxch - будем очень благодарны ❤️

❤️ Bugs Zone 4.0

Большой респект и спасибо всем причастным.

😉 Pentest Award by Awillix

Вновь открылся прием заявок на первую в России ежегодную премию для пентестеров Pentest Award от известной иб-компании Awillix. Подать заявку можно по восьми номинациям до 30 июня. На самом деле, если рассматривать WEB мне самому есть чем поделиться, поэтому осталось согласовать дисклозы). В текущем году мы с Вами, кстати являемся информационными партнерами этого замечательного мероприятия, поэтому на сайте можно найти и наше лого). Так что можете принимать участие, так как помимо драгоценного опыта есть шанс получить заслуженные призы.

🤗 XSS при авторизации

Пару месяцев назад, в очередной раз входил в свой аккаунт на одном всемирноизвестном ресурсе. Страница авторизации, содержала две формы ввода текста и пару кнопок, а также, если перенаправление происходило не с главной страницы, в url передавался параметр url. Заменив %2Ftrusted на javascript:alert() после успешной авторизации срабатывала XSS. После этого аналогичная проблема обнаружилась на входе в панель 'Селлера' этого сервиса. Очевидно, все это судя по всему было залито в прод в каком-то из обновлений и просто не было проверено, но это в очередной раз показывает, что при тестировании стоит проверять даже самые очевидные места, которые многие зачастую игнорируют.

🧐 ОБ ИБ

Как вы все прекрасно знаете основной тематикой данного микроблога является инфобез, багбаунти, баги и все что с этим связано. Безусловно, подобный контент является основообразующим и никогда никуда не пропадет, так как почти каждый день находится что-нибудь интересное. Однако я хотел поинтересоваться у вас тем, стоит ли данный контент "разбавлять" некоторыми нетематическими сообщениями, например мыслями, собственными заключениями, подборками, советами или комментариями каких-либо событий? На данный момент я не принял точного решения, стоит ли использовать для публикации подобного данный ресурс либо же вынести в отдельную ветку, о чем хочу спросить у вас (и в целом, стоит ли что-то такое постить). Будет интересно услышать Ваше мнение. На всякий случай уточняю, что стандартный контент никуда не пропадет.

😇 Crack Jwt

Недавно перестал работать jwt-cracker[.]online. Один из полезнейших онлайн ресурсов, для декрипта jwt в онлайн формате, без затрат каких либо мощностей, который не раз помогал в Bugbounty. Сервис имеет собственные словари и поддерживает перебор по алфавиту. Наверняка Вам будет полезно его зеркало, более того, оказывается сервис можно развернуть и локально.

Link: https://flibustier.github.io/jwt-online-cracker/

😎 Bugs Zone 4.0

Что ж, сегодня....

🤗 Как мониторить запросы

Нередко сталкиваюсь с проблемой, когда необходимо быстро получить запрос с хоста, например при Blind SSRF, но колаборатор запускать либо долго, либо нет возможности, или же его домен блокируется WAF. Тогда возможно воспользоваться простыми онлайн аналогами:

1. Request Catcher (позволяет сгенерировать уникальный хост, просто указав его название, вопрос безопасности конечно остается открытым, так как хосты можно просто энумерировать.... но для мимолетных тестов подойдет).

2. PipeDream - имеет демоверсию с уникальным генерируемым хостом.

3. HookListener - более удобный аналог с красивым представлением запроса. Генерирует ссылку вида https://api.hooklistener.com/{hash}.

😇 XSS in redirection

Иногда, анализируя код js'ников можно обнаружить скрытые параметры, которые цепляются прямо из ссылки и предназначены для перенаправления пользователя на сторонний ресурс. Однако, никто не застрахован от того, что эти параметры будут обрабатываться весьма забавно. В данном случае предусматривалась фильтрация ссылки с возможностью перенаправления только на tr(usted???)Domain, но в ходе описывания инструкций else что-то пошло не так.

P.S У меня вообще есть подозрение что это произведение искусства было нагенерировано искусственным интеллектом.

😱 LLM

В рамках исследования одной из нейронок, обнаружилось, что в одном из обновлений появилась возможность рендера графиков функций с помощью библиотеки matplotlib. Это сразу же натолкнуло на мысль внедрения в код построения графика, сторонних частей кода. Конечно, в модельке было множество заглушек, которые обрубали все "сверхвозможности", но немного поигравшись удалось найти подходящий промпт.

🤩 Hackadvisor

Тут один из крутых хакеров в комьюнити, Заур (k3ypt0) запустил Hackadvisor - каталог публично доступных bugbounty программ с различных платформ, с системой отзывов и подробной статистикой, в общем некий каталог/мониторинг в мире bugbounty, который может помочь выбрать подходящего вендора, поделиться своим опытом взаимодействия и т.д. Безусловно полезный и интересный ресурс, удачи в дальнейшем развитии!

🫣 ByBit

В продолжение истории: на днях вышел райтап от одной иб компании, как именно были похищены средства с биржи. Судя по всему, злоумышленникам удалось провести целый чейн, начавшийся с подмены .js файла, на одном из серверов, изменения в который, как говорят одни скорее всего внес, засоциаленный злоумышленниками кодер. Другая версия говорит о том, что виной всему стала утечка api ключа от S3 бакета. В любом случае после внедрения вредоносного JS, была проведена небольшая цепочка, закончившаяся подписанием транзакции.

☺️ Subdomain takeover

Иногда, при базовом сканировании поддоменов, в случае если некоторый набор возвращает 404, то следует обратить внимание на тело ответа. Например 7 доменов возвращают 404 nginx, а один возвращает баннер какого-то сервиса. Не стоит забывать, что в репозитории указаны далеко не все ресурсы, поэтому часто для тейковера стоит узнать, на что ссылается поддомен, и постараться пройти регистрацию на этом сервисе. Не стоит останавливаться, если регистрация скрыта за формой "Заполните, мы вам напишем", или "Базовый тариф за 0.99$", поэтому не нужно бояться пытаться получать доступ к функционалу, который недоступен публично. Иногда это может очень сильно помочь.

☺️ XSS with function

Интересная заметка, которая может помочь вам докрутить XSS'ку, если стандартные пейлоады не работают. В js есть малопопулярный способ объявления новой функции в виде let func = new Function, т.е new Function, таким образом конструкция javascript:new Function(alert(document.cookie)); или она же с апострофами: javascript:new Function`alert(document.cookie)`; будет вызывать alert из только-что созданной функции. Однако, если подобные методы обрубаются WAF или подобными средствами, возможно сделать следующее: символ '\' используется для экранирования, поэтому можно попробовать обойти фильтрацию, пытаясь проэкранировать несуществующий символ, например al\ert, поэтому строка javascript:new Function`al\ert(document.cookie)`; будет интерпретирована как javascript:new Function`alert(document.cookie)`; и вызовет алерт.

🫣 ByBit

Интересные новости из сферы ИБ внезапно появились. По сообщениям, некто взломал крипто биржу ByBit и похитил эфиров почти на 1.5млрд$. Судя по постам крипто биржи в одной из соцсетей, сработал изощренный фишинг. Интересно, что у биржи существует BugBounty программа, где исследователь может получить до 4000$ за уязвимость, в зависимости от ее критичности. Однако, как я уже сказал выше, вероятно инцидент не попадал бы под правила представленной программы.

🤔 Манипуляция балансировщиками

Недавно встретил на одном из ресурсов cdn, который подгружал контент с cdn вида X.domain.cdn, где X-двузначное число. Домен с одним из чисел, ссылался на протухший домен в одном cdn-сервисе, что позволяло при определенных обстоятельствах подменять контент. Для того, чтобы быстро собрать и проверить поддомены можно сначала пойти сюда, а затем сюда. Далее можно смотреть, что возвращает 404.

Эксперты CURATOR (до ноября 2024 — Qrator Labs) выпустили годовой отчет “DDoS-атаки, боты и BGP-инциденты в 2024 году: статистика и тренды”, в котором собрали самые важные факты об угрозах прошедшего года. Внутри много интересного, вот основные цифры📝:

📈 Рост DDoS-атак
• Общее число DDoS-атак выросло на 53% по сравнению с 2023 годом
• Рекордная атака достигла 1,14 Тбит/с, на 65% больше прошлогоднего рекорда
• Самая длительная атака продолжалась 19 дней (в 2023 году — 3 дня)
• Крупнейший ботнет года — 227 тыс. устройств (в 2023 году — 136 тыс.)

🏦 Кого атаковали чаще всего
• Наибольшее число L3-L4 атак: Финтех (25,8%), Электронная коммерция (20,5%) и Медиа (13,5%)
• 52% всех L7 атак пришлось на Финтех, на втором и третьем местах — Электронная коммерция (18%) и ИТ и Телеком (9,6%)

🤖 Боты
• Среднемесячная активность ботов выросла на 30%
• Чаще всего атаковали Онлайн-ритейл — 36,2% от всей бот-активности

🌍 Страны-источники DDoS-атак
1. Россия — 32,4%
2. США — 20,6%
3. Бразилия — 5,8% (Китай выпал из топ-3)

🌐 BGP-инциденты
• Рост BGP route leaks — на 10%, BGP hijacks — на 24%
• Глобальные инциденты: +59% route leaks
• Один из успехов: предотвращение глобальной утечки маршрутов с использованием стандарта RFC 9234, разработанного экспертами CURATOR вместе с IETF

Вы можете скачать полный отчет, чтобы узнать все подробности.

А еще недавно ребята создали Telegram-канал CURATOR, чтобы делиться своей экспертизой. Можете подписаться на них и следить за обновлениями💡.

Deepseek Clickhouse

Одной из нашумевших новостей последних дней, являлись два обнаруженных исследователями два кластера clickhouse, принадлежащих deepseek, находящихся прямо на поддоменах (dev.deepseek.com:8123) и содержащих чувствительные данные. Собственно, эксплуатация проблемы является довольно легко-реализуемой, так как clickhouse поддерживает взаимодействие с базой данных прямо через веб интерфейс. Так что если вы читали канал, то знаете, что если на периметре неизолирован 8123 порт, то это явно не к добру, сдавал такое неоднократно.

😉 GeoInt

Так-с, а хотите таск на геоинт?)
Ловите) Представьте, что ваш коллега путешествовал и отправил вам это фото, написав, что нашел магазин, где все товары стоят 1$. Получится ли у вас узнать название магазина?