Info sec блог. Страница 2

Ещё немного о сервисе airbnb(немного не по теме, но история интересная):

Вчера я заказал апартаменты на airbnb, сегодня при заселении оказалось, что квартира мне не совсем подходит и я сделал полный рефанд денег за все дни пребывания.
Спустя пару часов позвонили с французского номера, это оказалась служба поддержки airbnb. Извинились, пожали плечами и пожелали удачи со следующим жильем. 🤷‍♂️

Вечером позвонила та же девушка из службы поддержки и сказала, что из-за потери некоторого количества моего времени руководство airbnb решило подарить купоны на $33 в качестве извинения, которые можно использовать для погашения чистой стоимости заказа. И указали, что существуют некоторые шансы разногласий с обоих сторон из-за человеческого фактора, с чем я полностью согласился. 👍

В итоге последняя квартира оказалась одной из лучших, в которых я побывал в данном городе и служба поддержки airbnb приятно удивили. Всем советую обращаться к ним, они действительно клиентоориентированные. 👩🏼‍💻

Вы не знаете, что такое настоящие пуш уведомления, если никогда не получали личное сообщение в приложении airbnb на аккаунт, привязанный к email и телефону 😭

Буду завтра на конференции dc https://www.eventbrite.com/e/dc8044blackout-tickets-73704888305, если есть желание познакомиться или просто сказать «hi», ю а велкам 😉🙂

Поиск поддоменов на поддоменах 😱

«Inside Shopify’s new nine-floor office with plenty of craft beer and a rooftop terrace»

https://torontolife.com/city/inside-shopifys-new-nine-floor-office-with-plenty-of-craft-beer-and-a-rooftop-terrace/

«В Украине впервые состоялся марафон по поиску багов в государственной ІТ-системе»

https://news.finance.ua/ru/news/-/457013/v-ukraine-vpervye-sostoyalsya-marafon-po-poisku-bagov-v-gosudarstvennoj-it-sisteme

«One XSS cheatsheet to rule them all»

https://portswigger.net/research/one-xss-cheatsheet-to-rule-them-all

Время от времени на этот канал буду транслировать также некоторый контент из твиттера twitter.com/0xw2w

Похоже, Tumblr больше не является частью bug bounty программы Verizon Media, ассет скоро будет добавлен в bug bounty программе Automattic. Очень хочу увидеть его в Automattic вместе с новым функционалом 👀

Статья о PDF export уязвимости на сервере facebook https://webcache.googleusercontent.com/search?q=cache:AgitkY22CXwJ:https://ysamm.com/%3Fp%3D280+&cd=1&hl=ru&ct=clnk

Подборка советов на тему использования burp suite https://medium.com/@ryanwendel/https-medium-com-ryan-wendel-burp-suite-tips-volume-1-3a37f49f8931 / https://medium.com/@ryanwendel/burp-suite-tips-volume-2-7b261b4eec93. Возможно, новички найдут эти статьи для себя полезными

Анализ нового элемента <portal> в google chrome:

https://research.securitum.com/security-analysis-of-portal-element/

https://hackerone.com/googleplay увеличили скоуп до всех приложений в google play с более чем 100 000 000 установок. Замечаю, как некоторые приватные программы (например lyft) переносят свои мобильные приложения в баг баунти google play

Статья о человеке, который зарегистрировал номерной знак «NULL», что привело к получению большого количества ошибочных штрафов. Произошло это из-за того, что все штрафы, выписанные полицией без указания номерного знака, в базе данных ассоциируются с «NULL».
https://www.wired.com/story/null-license-plate-landed-one-hacker-ticket-hell/

https://speakerdeck.com/filedescriptor/killing-with

Совет: Если у вас есть API эндпойнт, например /api/v2/****/, попробуйте заменить v* на меньшее число и понаблюдайте за реакцией. Возможно, в более старой версии API разработчики допустили IDOR, improper auth или другую уязвимость.

Репорт на тему Race condition https://hackerone.com/reports/454949
Элементарная уязвимость, которая позволяет выполнить определенное действие больше одного раза, если запросы были отправлены одновременно. Эксплуатируется с помощью intruder turbo, race the web и др.

Bug bounty совет:

Старайтесь находить уязвимости в приложениях, которыми вы пользуетесь.

Очень часто обнаруживаю некоторые уязвимости просто из-за того, что обращаю внимание на реакцию приложения на те или иные стандартные клиентские действия и анализирую их. Например, недавно заприметил ошибку при входе в десктопном приложении Spotify и позже обнаружил Oauth мисконфиг, который, при определенных обстоятельствах, может помочь захватить сессию.
Так же очень круто, если приложения, которыми вы пользуетесь еще и имеют собственную баг баунти программу. В этом случае при обнаружении валидной уязвимости награда будет гарантированной. Я часто пользуюсь одним популярным vpn-клиентом, — у них как раз есть баг баунти программа, с которой довелось несколько раз работать. Случалось находить blind xss и idor, а совсем недавно, — OAuth мисконфиг, который вел к захвату любого аккаунта. Как позже оказалось, это уязвимость не на сайте vpn клиента, а в системе управления сайтами с большим количеством клиентов, у которого тоже есть баг баунти 👏. Мне было предложено отрепортить баг на bugcrowd, что я, собственно, и сделал, после чего получил вознаграждение, а со стороны vpn провайдера - пожизненный доступ к vpn. После этой уязвимости выдали лицензию разработчика для тестирования и вчера я отрепортил ещё 7 уязвимостей в системе управления сайтами 🐛🐛🐛