Why Property Testing Finds Bugs Unit Testing Does Not (2021)
https://buttondown.com/hillelwayne/archive/why-property-testing-finds-bugs-unit-testing-does/
#HackerNews #PropertyTesting #UnitTesting #SoftwareBugs #BugHunting #ProgrammingInsights
#bughunting
“Stop Saying Responsible Disclosure"
#security #cybersecurity #bughunting
https://www.da.vidbuchanan.co.uk/blog/responsible-disclosure.html
[Перевод] Jenkins: Тестирование на проникновение
Jenkins — это open-source сервер автоматизации, используемый для непрерывной интеграции (CI) и непрерывной доставки (CD), написанный на Java. Jenkins автоматизирует задачи, такие как сборка, тестирование и развертывание в процессе разработки ПО. Эта автоматизация ускоряет циклы разработки, повышает качество кода и упрощает релизы. Ключевые возможности — CI/CD, автоматизированное тестирование, интеграция с системами контроля версий, расширяемость за счет плагинов и мощный мониторинг и отчётность. Содержание - Подготовка лаборатории - Установка - Конфигурация - Перебор - Эксплуатация с помощью Metasploit Framework - Ручная эксплуатация (Reverse Shell) - Выполнение команд напрямую - Заключение Подготовка лаборатории В этой статье мы настроим сервер Jenkins на машине с Ubuntu и получим удаленное выполнение кода. Воспользуемся следующими устройствами: Целевая машина: Ubuntu (192.168.1.4) Машина атакующего: Kali Linux (192.168.1.7)
[Перевод] IDOR & UUIDs для утечки PII
Введение Привет, сегодня я поделюсь с вами очередным отчетом. Уязвимость, о которой мы поговорим, это IDOR. С помощью которой, я смог раскрыть личную идентификационную информацию (сокращенно PII). Быстро объясню, что такое IDOR и PII. Что такое IDOR Это сокращение от Insecure Direct Object Reference (небезопасная прямая ссылка на объект). Что это значит? Проще говоря, это уязвимость, которая позволяет злоумышленнику выполнять CRUD операции (создание, чтение, обновление, удаление) от имени других пользователей, так как приложение не проверяет, действительно ли пользователь, получающий доступ к ресурсу, является его владельцем. Что такое PII Это любая личная идентификационная информация, которой может обладать пользователь и которая может позволить создать копию профиля конкретного человека (включая электронные почты, номера телефонов, номера социального страхования и так далее). Теперь перейдем к делу
https://habr.com/ru/articles/897794/
#bugbounty #bughunting #кибербезопасность #багхантинг #багбаунти #idor
[Перевод] $$$$ за полный захват аккаунта (ATO), обход 2FA, утечку конфиденциальных данных через критические ошибки в CORS
Раньше я не имел привычки писать о своих находках, но теперь решил время от времени делиться наиболее интересными. Это мой первый разбор одной из моих последних находок, поэтому любые предложения или вопросы более чем приветствуются! В этом разборе я покажу вам, как ошибка в конфигурации CORS привела к полному захвату аккаунта (ATO) и обходу двухфакторной аутентификации. Без лишних слов, перейдем к истории. Я скрою название цели (довольно популярной), но отмечу, что один из ее сервисов связан с механизмом безопасности, предназначенным для защиты веб-сайтов и приложений при сохранении конфиденциальности пользователей. Этот механизм разработан для предотвращения автоматизированных злоупотреблений и атак, при этом обеспечивает легитимное взаимодействие с веб-сайтом без чрезмерного отслеживания или сбора данных. Методология Я не проводил никакой разведки, вместо этого я сразу сосредоточился на основном домене. Я начал с посещения страницы , чтобы создать новый аккаунт и завершить процесс регистрации. Цель предлагает различные тарифные планы, от бесплатных услуг до корпоративных решений. Я выбрал версию "Pro" и активировал бесплатный пробный период. После завершения регистрации я вошел в систему с использованием своих учетных данных и был перенаправлен на страницу . Там я начал изучать различные функции. В настройках профиля я активировал двухфакторную аутентификацию (2FA) и добавил ключ безопасности как дополнительный метод аутентификации, что позволяет входить в систему без ввода пароля каждый раз.
https://habr.com/ru/articles/896684/
#bugbounty #bughunting #багхантинг #2faаутентификация #cors #взлом_аккаунта
Check it out, here’s another #news #article I’ve been #referenced in:
https://www.13secnews.com/bug-bounty-da-nubank-e-considerado-farsa-desmotivando-hunters/
The article itself is in #Spanish but you can use the #Google #Translate to get in in #English.
#CyberSecurity #BugBounty #EthicalHacking #BugBountyHunting #BBH #BugHunter #BugHunting #WhiteHat #WhiteHatHacker #WhiteHatHacking #PenetrationTesting #PenTesting #PenTest
[Перевод] Как я нашел свой первый баг: SQL-инъекция в NASA
Я начал заниматься баг-баунти три недели назад. Мой изначальный подход, основанный на прочитанной информации, заключался в том, чтобы искать уязвимости в VDP (программах раскрытия уязвимостей), чтобы получить приглашение в частные программы и избежать жесткой конкуренции, как в публичных программах. Однако мне хотелось получить что-то взамен за свое время, ведь его у меня не так много. После того как я увидел, как несколько багхантеров делятся своими благодарственными письмами от NASA в X, я поставил себе новую цель...
https://habr.com/ru/articles/895530/
#bugbounty #bughunting #nasa #sql_инъекция #багхантинг #эксплуатация_уязвимостей
When you think you've fixed the bug… but the bug fixes you instead. 🫠💻🐛
What’s the worst part of debugging?
#DeveloperLife #DebuggingNightmares #CodeFails #SoftwareEngineer #BugHunting #DevMeme #ProgrammingHumor
[Перевод] Как находить IDOR, как профессионал
На сегодняшний день IDOR является одним из самых распространенных и легких для нахождения багов в программе баг-баунти. Он невероятно популярен и легко обнаруживается. После прочтения множества описаний IDOR и извлечения полезных знаний, мне кажется, что пришло время поделиться ими. В этой статье я поделюсь методологиями поиска и некоторыми своими находками, надеюсь, это будет полезно. Нет контента? Не проблема — 1 Баг Администраторы приложений, могут создавать группы, приглашать пользователей организации в группы и добавлять их в качестве соавторов. Я добавил свой собственный аккаунт, который является обычным пользователем, в качестве соавтора, как показанно на скриншоте ниже:
[Перевод] HTTP Request Smuggling на business.apple.com и других сайтах
Около года назад Apple произвела фурор в баг-баунти сообществе, привлекая внимание различными эксплойтами и честной таблицей наград. Я взялся за дело и обнаружил критические проблемы связанные с Request Smuggling, которые затрагивали ключевые веб-приложения в инфраструктуре Apple. Я выявил проблемы на серверах под следующими доменами:
https://habr.com/ru/articles/890638/
#bugbounty #bughunting #информационная_безопасность #взлом #эксплойт
Hah! Kleinen Bug gefunden. Rechtschreibungsprüfung in Waterfox scheint derzeit nur in englisch möglich. Auch mit zusätzlich installiertem DE-Wörterbuch ist eine Umstellung anscheinend derzeit nicht möglich. DE als Wörterbuch taucht nicht auf. 🤷🏻♂️ #Waterfox #Firefox #Bughunting #MozillaFail
Сканирование периметра компании VK с помощью open-source решений
Всем привет! Зовут меня Владимир, я работаю специалистом информационной безопасности в бизнес‑юните Mail.ru компании VK. Запустить сканер внешнего периметра было одной из моих важных задач. Сделать это можно было двумя способами разобрать и использовать то, что было сделано раньше или создать что‑то новое. Я пошел по второму пути и... мы развернули инструмент на всю компанию.
https://habr.com/ru/companies/vk/articles/885976/
#сканер #сканер_уязвимостей #nuclei #bugbounty #bughunting #автоматизация #уязвимости #порты #сайты #assets
[Перевод] Поиск доступных конфиденциальных API ключей в JS-файлах
Сегодня мы узнаем, как найти открытые API токены в JS файлах. Они представляют риск, поскольку могут предоставить возможность несанкционированного доступа к базе данных компании или платным услугам. Это также распространенная уязвимость в системе безопасности, возникающая из-за неопытности и невнимательности команды разработчиков. Торчащий API токен — это как пропуск для злоумышленников. Они могут использовать его для получения несанкционированного доступа. Если API токен предоставляет доступ к какому-либо сервису, например AWS или GitHub, злоумышленники могут воспользоваться им, что приведет к финансовым потерям компании, утрате репутации и доверия клиентов. Если токен используется для доступа к какой-либо базе данных, то это большая проблема для компании. Теперь давайте начнем с некоторых методов поиска открытых API токенов:
[Перевод] Захват учетной записи через отравление сброса пароля
Как охотники за ошибками, мы видим, как приложения снова и снова совершают одни и те же ошибки. Одна из них — позволить пользователям контролировать то, что они не должны. Сброс пароля являются перспективной мишенью. Если приложение позволяет данным, вводимым пользователем, влиять на электронное письмо для сброса пароля (например изменять URL-адреса перенаправления или внедрять параметры), им можно злоупотреблять для перехвата учетных данных. Злоумышленники могут настроить входные данные так, чтобы отправить пользователей на вредоносный сайт вместо законной страницы сброса, украсть токен и завладеть учетными данными. Это не теория — это происходит постоянно, особенно в плохо защищенных приложениях. Как это работает? Процесс сброса паролей обычно выполняются следующим образом: 1) Генерируется токен сброса. 2) Отправляется письмо со ссылкой для сброса, содержащей этот токен. 3) Когда пользователь щелкает ссылку, токен проходит проверку. 4) Пользователю разрешается установить новый пароль. Проблема возникает, когда:
https://habr.com/ru/articles/885064/
#взлом #сброс_пароля #хакинг #информационная_безопасность #bughunting #c #захват_учётной_записи
Allen, die heute bei Pizza-Bugs-and-Fun mitmachen wünschen wir viel Spaß und Erfolg: https://www.pizza-bugs-fun.com/de/
Uh. Soeben kapitalen 10-Ender in Kundendatenbank gefunden. Das heißt, der Fehler ist seit nun 10 Jahren aktiv.
Er fiel nie auf, weil die User einen Workaround gefunden hatten, der darin bestand, "unerwünschte" Daten einfach zu löschen.
Die User sind nicht mehr im Unternehmen.
Der Chef wundert sich, dass ein Report nicht mehr so funktioniert wie er es erwartet.
A little late but I am happy to share that I finished the year of 2024 in first place among Singapore @Hacker0x01 researchers 🇸🇬
Big thanks to everyone who believe in me and keep me motivated in my bug bounty journey! 💪
It has been a hectic year, very challenging programs and was invited to my first live hacking event 🔥 hope can post more content this year!
#bugbounty #hackerone #TogetherWeHitHarder #security #bughunting
[Перевод] $2200 ATO, который большинство охотников за багами упустили, слишком рано отказавшись от цели
Охота за багами – это смесь как технических навыков, так и упорства с любопытством. Иногда самые простые баги остаются незамеченными из-за простых предположений. Эта история не о каком-то революционном эксплойте; она о терпении и о том, почему всегда стоит доводить дело до конца. Цель: Простой вход с использованием OTP Цель, которую я тестировал — назовем её redacted.com, — была хорошо проработана и прошла множество проверок. Вот как работало приложение: - Пользователи входили в систему, используя адрес электронной почты. - На их почту отправлялся одноразовый 6-значный код (OTP). - Этот код вводился для доступа к аккаунту — никаких паролей. Механизм был достаточно простым, что делало его идеальным для тестирования уязвимостей OTP, связанных с перебором. Начало тестирования
Client Info
Server: https://mastodon.social
Version: 2025.04
Repository: https://github.com/cyevgeniy/lmst