SHADOW:Group

😆 Прокачали BI.ZONE Bug Bounty для успешного багхантинга Мы завершили первый этап редизайна платформы и телеграм-канала! Что нового: 🔵Изменили стилевое и цветовое оформление. Визуальная часть стала более атмосферной и тематической. 🔵Внедрили систему тегов. Теперь легко отфильтровать программы по нужным критериям. Например, кто отвечает за триаж ­— компания или наши эксперты, можно ли перевести выплату на благотворительность. 🔵Добавили метрику для программы. Появилась возможность посмотреть среднее время обработки отчета в рамках каждой программы. Учитывается период с момента отправки репорта до получения информации о его финальном статусе. Кстати, платформа переехала и теперь располагается тут — https://bugbounty.bi.zone. Этот релиз — первый из запланированных. Поэтому расскажите нам о своих пожеланиях и поделитесь идеями, чтобы мы смогли их учесть в следующих обновлениях. А пока можете изучить платформу ;)

RockYou2024 Архив весит 45 гб Распакованный 156 гб Загрузил на свой S3. Скорость не лучшая, но точно не отвалиться загрузка https://s3.timeweb.cloud/fd51ce25-6f95e3f8-263a-4b13-92af-12bc265adb44/rockyou2024.zip Яндекс Диск. Тут скорость заметно быстрее https://disk.yandex.ru/d/1spMBmxcEnN95g 🌚 @poxek

💀 Про Next.js и отравление кэша 1️⃣ При извлечении данных для страниц SSR (рендеринга на стороне сервера) добавление заголовка x-middleware-prefetch приводит к получению пустого объекта JSON {} в качестве ответа. При наличии CDN или системы кэширования этот пустой ответ потенциально может быть кэширован, в зависимости от конфигурации правил кэширования, что делает целевую страницу непрактичной, а ее содержимое недоступным и получается некая разновидность DOS'а через отравление кэша. 2️⃣ Использование React Component Server (RSC) и отправка заголовка Rsc: 1, может привести к отравлению кэша и вернет RSC React вместо исходного содержимого. Успешность также зависит от CDN и его правил кэширования. 3️⃣ При определенных условиях можно перезаписать код состояния через значение заголовка x-invoke-status, непосредственно указанного в запросе и вызвать/вернуть страницу ошибки. Как правило, CDN и системы кэширования настроены так, чтобы не кэшировать коды ошибок HTTP. Однако можно указать код 200 для согласования с правилами кэширования и эффективно “принудительно” кэшировать страницу с ошибкой. Более подробно про каждый из способов, а также некоторые советы как нафармить денег при общении с триажерами доступны в оригинальном ресерче по ссылке. #web #cache #dos

На Pentest Award продлили прием заявок аж до 14 июля. Меньше всего конкуренции в номинации «Ловись рыбка: за самый оригинальный фишинг или попытку засоциалить сотрудников», поэтому если у вас имеются интересные кейсы, есть высокий шанс оказаться среди номинантов.

🔃 Редирект в ChatGPT Очередному исследователю не заплатили и он поделился рассказом о том, что ChatGPT не может получать доступ к определенным веб-сайтам, однако фильтрация некорректно обрабатывает HTTP-перенаправления. Вы можете использовать любой сокращатель ссылок и обойти их проверки. Более того, это также работает для ссылок типа https://localhost:<порт для сканирования>/ и внутренних доменов OpenAI. Однако, по мнению компании, это не угроза безопасности. #web #ssrf

®️ Запускаем call for papers! Пятый OFFZONE пройдет 22–23 августа в Москве, в Культурном центре ЗИЛ. В этом году у нас еще больше зон для выступлений: добавились AI.Zone и Threat.Zone. Ждем доклады на самые разные темы: open-source, применение AI/ML в кибербезопасности, уязвимости в парсерах, пентест Wi-Fi и не только. Не бойтесь предложить что-то свое :) Спикеры, которые пройдут отбор, получат: бесплатные проходки на конфу и Speaker party, наш мерч, а также другие плюшки в зависимости от зоны. Присылайте заявки на доклады до 12 июля.  Узнать больше и подать заявку

Кстати, на днях согласовал с вендором публикацию рассказа об одном из отчетов, чтобы закинуть заявку на Pentest Award. В итоге статья увидела свет и была отправлена, хоть и в довольно урезанном виде. Если тоже хотите поучаствовать, чтобы выиграть призы или просто поделиться с комьюнити своими интересными находками, то у вас еще есть время до 23.06.

⌨️ Обход WAF через большое количество символов Ранее я уже рассказывал о том, что для HTTP-запросов, содержащих тело запроса (например, POST, PUT, PATCH и т.д.), часто можно обойти WAF, просто добавив мусорные данные в начало запроса. Когда запрос дополняется этими ненужными данными, WAF обработает до X КБ запроса и проанализирует его, но все, что превышает пределы WAF, пройдет мимо. На недавнем NahamCon вышел целый доклад на эту тему с подробным разбором и необходимыми значениями X КБ для обхода различных популярных WAF. Видео доклада, описание и расширение для вставки мусорных данных в Burp представлено по ссылкам ниже. Ссылка на видео Ссылка на GitHub #web #waf #bypass

🔎Собираем поддомены и IP в RSECloud Недавно нашел новый ресурс, под названием RSECloud, который позволяет собирать поддомены и IP'шники организации по домену или имени организации. Работает как в вебе, так и через API. Чтобы удобно прикрутить его к своей автоматизации накидал небольшой скрипт на GO, который предполагает 3 варианта использования: Сбор поддоменов:

rsescan -d example.com -key YOUR_API_KEY

Сбор IP'шников по домену:

rsescan -d example.com -cn -key YOUR_API_KEY

Сбор IP'шников по имени организации:

rsescan -so "Organization Name" -key YOUR_API_KEY

Для получения API ключа нужно просто пройти регистрацию по почте. Для всех желающих залил скрипт на гитхаб. Ссылка на RSECloud Ссылка на скрипт #web #recon