• Эксплуатация cookie-based XSS | $2300 Bug Bounty story



      Уже на протяжении довольно длительного времени я охочусь за уязвимостями на платформе HackerOne, выделяю некоторое количество времени вне основной работы, чтобы проверить любимые и новые программы. Бесчисленное количество раз приходилось натыкаться на cookie-based XSS уязвимость, которая и станет главной героиней этой статьи. Данный тип уязвимости возникает, когда значение параметра cookie рефлектится на страницу. По умолчанию они считаются self-XSS, если мы, в свою очередь, не докажем их опасность. Собственно, сегодня я расскажу, как эксплуатировать cookie-based XSS уязвимости, а также приведу пример из тестирования одной компании, от которой я получил $7300 в целом за исследование.
      Читать дальше →
    • [BugBounty] Раскрытие 5 миллионов ссылок в приватные чаты Telegram и возможность редактирования любой статьи telegra.ph



        Вот уже больше года я пользуюсь мессенджером Telegram: это удобно и, насколько мне казалось, полностью конфиденциально. Так как я исследователь безопасности web-приложений, то должен был проверить соответствующую версию приложения на уязвимости. Я не видел в этом острой необходимости из-за репутации мессенджера как «самого защищенного». Я думал, что зря потрачу своё время и ничего не найду. Но недавно, тестируя один сайт, который взаимодействовал с доменом t.me, мне довелось усомниться в безопасности Тelegram, и решимость проверить его на уязвимости быстро возросла.
        Читать дальше →
      • Как я взломал компании, связанные с криптовалютой, и заработал на этом $60 000

          image

          Биткоин и криптовалюты в целом сейчас у всех на слуху. Моё знакомство с криптовалютами произошло примерно 5 месяцев назад, именно тогда я начал инвестировать в bitcoin и ethereum, курс на тот момент был по $1900 за btc и $89 за эфир. Для того, чтобы вы могли понять, какой профит я получил, скажу, что на момент написания статьи биткоин стоит $18 100, а эфир $830 и продолжает выходить на орбиту вместе с остальными криптовалютами. Подумал, что будет отлично посмотреть насколько безопасны сервисы, в которых я держу свои криптовалютные сбережения, торгую ими или отдаю в доверительное управление.
          Читать дальше →
        • Как уязвимость платежной системы раскрывала данные кредитных карт

            Недавно решил проверить на уязвимости сайты платежных систем (ua,ru). Нашёл топ такого рода сервисов, на множестве из которых были обнаружены xss, csrf и другие популярные уязвимости. Были компании, которые оперативно устраняли уязвимости, благодарили и договаривались о сотрудничестве, были, которые молча фиксили, и самый неприятный момент — компании, которые не верили в опасность проблемы, я пытался доказать им обратное, что дело обстоит серьезно, предлагал показать уязвимость на их тестовом аккаунте, говорили, что исправят, но до сих пор и не исправили.

            Есть одна платежная система, на которой присутствовала уязвимость, позволяющая получить критически важную информацию о пользователе, его пароле, кредитной карте и тд. Баг очень легко воспроизводился, правда вывод средств со взломанных аккаунтов был затруднен по нескольких причинам, расскажу о них под катом.
            Читать дальше →
          • Делаем deface сайта с помощью XSS

              Deface сайта можно сделать, если вы получили доступ к ftp, залили shell и тд, но также это можно сделать с помощью обычной XSS. В этой статье я хочу рассказать, как использовать Stored XSS для того, чтобы изменить содержимое главной страницы сайта или определенной страницы для того, чтобы массово воровать cookies у пользователей и делать редирект на свой сайт.

              image Вся информация предоставлена исключительно в ознакомительных целях. Я не несу ответственности за любой возможный вред, причиненный материалами этой статьи.




              Итак, что такое deface (Википедия):
              Deface (англ. deface — уродовать, искажать) — тип взлома сайта, при котором главная (или любая другая) страница веб-сайта заменяется на другую — как правило, вызывающего вида: реклама, предупреждение, угроза или шутка.
              Зачастую доступ ко всему остальному сайту блокируется, или же прежнее содержимое сайта вовсе удаляется.
              Читать дальше →
              • +11
              • 16.7k
              • 2
            • [Бесплатная пицца] Взлом сайта доставки пиццы, взлом mobidel.ru

                Я часто заказываю пиццу в Одессе, больше всего люблю доставку pizza.od.ua, там не жалеют начинки и можно создать пиццу из своих ингредиентов, в других же службах доставки можно выбрать только ту пиццу, которую тебе предлагают, добавить еще ингредиентов или выбрать другие нельзя. Месяца два назад я подсел на суши у них. С недавних пор суши временно не доставляют, тогда я нашёл другую доставку суши и пиццы.

                Я решил проверить её на уязвимости.

                Первая уязвимость — самая популярная на таких сайтах — это отсутствие проверки суммы платежа за товар (iDOR).
                Читать дальше →
              • [Багхантинг] Blind XSS уязвимость на сайтах службы поддержки omnidesk

                  Предыстория: История эта начинается с того, что во многих пабликах, на которые я подписан, увидел посев (реклама в социальных сетях) групп с бесплатными ключами vk.com/******* и vk.com/*****. Посевы эти дорогие, производились в группах от 250 000 до 5 000 000 подписчиков, например в группе Наука и Техника. Группы предлагали каждому бесплатный ключ за подписку. Примерно через полмесяца увидел, что первая группа выросла до 109 тысяч подписчиков. Тут любому понятно, что бесплатный ключ люди не получат, ведь бесплатных ключей на 100 к человек не «напасешься». Немного осмотрев группу, я понял что «реальные» отзывы о получении бесплатных ключей подделка, ведь скриншоты из отзывов все время кидают одинаковые и ссылки на людей поддельные.



                  Самое интересное то, что люди на всё это до сих пор ведутся, вступают в группу в надежде на бесплатный ключ, делают репост в надежде на то, что им повезет и они выиграют дорогой игровой PC(но мы то знаем, что никто PC не получит), когда они хотят получить что-то бесплатно, ими легко манипулировать для своих целей.



                  Вся суть постов в группе — это реклама реферальной ссылки на сайт ***random.ru и получение выгоды.



                  Посмотрим на него.
                  Читать дальше →
                • [BugBounty] Частичный обход аутентификации vk.com

                    Поставил перед собой задачу — обойти аутентификацию Вконтакте. Когда ip адрес человека, который входит на аккаунт vk меняется, нужно ввести полный номер телефона. Если злоумышленник входил через телефон; пароль, то он сможет совершать действия на аккаунте. Но если он входил через email; пароль или через подмену cookies, то он не сможет совершать какие либо действия на аккаунте.

                    image Вся информация предоставлена исключительно в ознакомительных целях. Я не несу ответственности за любой возможный вред, причиненный материалами этой статьи.


                    Читать дальше →
                  • Iframe injection и self xss на более чем 20 000 сайтах alexarank UA/RU

                    Я независимый исследователь безопасности securityz.net, первое место в bug bounty ПриватБанка.

                    Решил пройтись по топу alexarank, начал искать уязвимости на gismeteo.ua (20 место). Произошел редирект на русскую версию (www.gismeteo.ru/soft/), обратил внимание на тех.поддержку.
                    Читать дальше →