Архив метки: bugbounty

Роль AI-инструментов в ресёрче новых (0day) уязвимостей сейчас неоднозначна

Добавить комментарий

Роль AI-инструментов в ресёрче новых (0day) уязвимостей сейчас неоднозначна

Роль AI-инструментов в ресёрче новых (0day) уязвимостей сейчас неоднозначна.

🔹 Безусловно, набирает обороты AI-слоп. Нагенерить и сдать что-то похожее на описание уязвимости (или эксплойт) в надежде получить баунти или просто CVE-идентификатор стало СЛИШКОМ просто. Этим массово пользуются недобросовестные "ресёрчеры", устраивая своеобразные DoS-атаки на вендоров, мейнтейнеров опенсурсных проектов и базы уязвимостей. На днях проект curl завершил из-за этого свою Bug Bounty программу. 🤷‍♂️

🔹 В то же время повышается ценность настоящего ресёрча с помощью AI. Так в OpenSSL 27 января исправили 12 уязвимостей, найденных AI-стартапом AISLE. Google Big Sleep - тоже качественная тема. 🤖

Как мне кажется, будущее ресёрча не за роем ноунеймов с ChatGPT и бесплатными агентами, а за специализированными и хорошо финансируемыми AI-фабриками по производству (фактически) кибероружия.

Давно пора это направление грамотно стимулировать и регулировать. 😉

Прочитал хабропост про опыт zVirt на Standoff Bug Bounty

Добавить комментарий

Прочитал хабропост про опыт zVirt на Standoff Bug Bounty

Прочитал хабропост про опыт zVirt на Standoff Bug Bounty. zVirt - отечественная платформа серверной виртуализации от компании Orion soft.

Когда российский вендор выходит на багбаунти - это здорово. 🔥 А когда делится инфой по найденному и устранённому - это вдвойне здорово. 🔥🔥

В посте разбирают пять уязвимостей:

🔻 Blind SSRF с подменой хоста для бэкапов и IDOR
🔻 Open Redirect с угоном аккаунта
🔸 Reflected XSS на главной странице
🔸 Утечка данных о пользователях через API
🔸 Трейсбеки базы данных в ответах API

Для каждой описывают, в чём она заключалась и как была исправлена. 👍

У меня, как у VM-щика, конечно, возник вопрос: а где идентификаторы этих уязвимостей? 🤔 Хотя бы вендорские, но желательно CVE/BDU. Ведь это значительно упрощает ведение базы правил детектирования уязвимостей, их обнаружение и устранение в инфраструктуре.

К сожалению, идентификаторов пока нет. 🤷‍♂️ Но это дело наживное - главное, что уязвимости устраняются. 😉

Иногда общение стоит минимизировать

Добавить комментарий

Иногда общение стоит минимизировать

Иногда общение стоит минимизировать. Главная проблема в работе с уязвимостями - это НЕ сами уязвимости. Это необходимость постоянно общаться с людьми, которые этого общения не хотят и которым ты не нравишься. 🫩 Это актуально и при пушинге устранения уязвимостей в инфраструктуре, и при сдаче-приёмке уязвимостей, найденных в ходе багбаунти.

Поэтому я сторонник того, чтобы неприятное общение максимально сокращать и формализовывать. Игры в "докажи-покажи" отнимают массу сил и времени, а когда общение неизбежно заходит в тупик, обе стороны всё равно начинают действовать формально. 🤷‍♂️ Так почему бы не поступать так с самого начала? 😏

➡️ В качестве примера рекомендую ознакомиться с эпичной историей, как Игорь Агиевич сдавал уязвимость в блокчейне Hyperledger Fabric (CVE-2024-45244). Имхо, вместо общения в такой ситуации было бы достаточно скинуть вендору ресёрч и PoC, выждать 3 месяца, зарегать CVE и, без особых рефлексией, сделать full disclosure. 🤷‍♂️😈

Positive Technologies проверит защищенность MaxPatrol VM и еще 8 продуктов на Standoff Bug Bounty

Добавить комментарий

Positive Technologies проверит защищенность MaxPatrol VM и еще 8 продуктов на Standoff Bug Bounty

Positive Technologies проверит защищенность MaxPatrol VM и еще 8 продуктов на Standoff Bug Bounty. Выплаты до 2 миллионов рублей. Зарепортить можно полные или частичные сценарии реализации недопустимых событий. Уровень опасности (и вознаграждения) определяется по табличке возможных сценариев атаки ("Диверсия", "Взлом", "Утечка", "Злоупотребление"), класса атакующего и полноты реализации сценария. Для MaxPatrol VM выделяют следующие классы атакующих:

🔹 Класс 0. Права администратора на сканируемом узле.
🔹 Класс 1. [для VM не выделяют]
🔹 Класс 2. Полный доступ к узлу, на котором запущен компонент MP 10 Collector, и права администратора ОС. на этом узле. Предполагается, что в инсталляции работает несколько таких компонентов.
🔹 Класс 3. Сетевой доступ к компоненту MP10 Core по портам 443 (UI), 3334 (PT MC).
🔹 Класс 4. Класс 3 + учетная запись с правами в MP10, соответствующими роли сотрудника SOC 1-ой линии.

Три богатыря и Bug Bounty

Добавить комментарий

Три богатыря и Bug Bounty

Три богатыря и Bug Bounty. Сходили в кино на анимационный фильм "Три богатыря. Ни дня без подвига". Три короткие истории. Первая, думаю, ИБшникам зайдёт. 😉

Князь с подачи коня Юлия внедряет во дворце систему безопасности и объявляет багбаунти программу для выявления уязвимостей в ней: кто проникнет во дворец и выполнит реализацию недопустимого события (кражу короны), тот получит 100 сладких пряников.

В результате недопустимое событие реализуют, но за наградой никто не обращается. 😱🫣

Пришлось Алёше Поповичу проводить ресёрч как же злоумышленнику получилось обойти средства защиты. 😏

В итоге оказалось, что был реализован совсем не тот вектор, от которого защищались. 🤷‍♂️ Как это и бывает.

Мораль? 🙂 Тщательнее оговаривайте условия Bug Bounty программы. Она не обязательно должна быть публичной, зачастую приватная программа с ограниченным количеством проверенных участников (или даже обычный пентест) получается эффективнее и безопаснее. 😉

На прошлой неделе для MaxPatrol VM (вместе с SIEM) объявили Bug Bounty программу

Добавить комментарий

На прошлой неделе для MaxPatrol VM (вместе с SIEM) объявили Bug Bounty программу
На прошлой неделе для MaxPatrol VM (вместе с SIEM) объявили Bug Bounty программу

На прошлой неделе для MaxPatrol VM (вместе с SIEM) объявили Bug Bounty программу. Выплаты за критикал до миллиона рублей. Для удобства есть доступный из интернет сервак (нужно только в /etc/hosts прописать).

В описании программы есть закрытый список из 10 пунктов за что вознаграждение НЕ выплачивается. По этим пунктам и так интуитивно понятно, что такое слать не нужно, но люди находятся. 🤷‍♂️ За остальное может выплачиваться. Даже за уязвимости, найденные в используемом компанией ПО сторонних производителей (например, opensource-библиотеках), но, по умолчанию, по минимальной границе.

В правилах и требованиях к отчёту тоже вроде всё по делу и ничего сверхестественного нет.

Программу запустили в прошлую среду, уже 3 отчёта сдано.

Посмотрел доклад Никиты Распопова из УЦСБ на SafeCode 2024 про быструю разведку периметра организации при пентесте веб-приложений

Добавить комментарий

Посмотрел доклад Никиты Распопова из УЦСБ на SafeCode 2024 про быструю разведку периметра организации при пентесте веб-приложений

Посмотрел доклад Никиты Распопова из УЦСБ на SafeCode 2024 про быструю разведку периметра организации при пентесте веб-приложений. Особенно полезны разбираемые способы автоматизации должны быть для тех, кто занимается багхантингом и хочет быстро находить/репортить "low-hanging fruits". 🙂 Слайды и описание доклада доступны в канале Никиты.

Были использованы утилиты:

🔻 WayBackTools - парсинг веб-кэша
🔻 httpx - проверка доступа
🔻 xurlfind3r - получение данных веб-кэша
🔻 BurpSuite - платформа для пентестинга веб-приложений
🔻 GAP - Burp app для получения параметров и ссылок из JS
🔻 Nuclei - сканер уязвимостей
🔻 Katana - веб-краулер