FAQ

FAQ

t.me/api_0

Обещал статью по вашим вопросам, но что-то быстро реализовать ее не получилось. Много воды лить не буду. Сразу к делу.

Вопросы, которые я постараюсь раскрыть:

  • Топ 5 тулз, которыми пользуюсь
  • Топ багов, которые я находил и чаще всего мне встречаются
  • Что больше всего бесит в багбаунти и на hackerone
  • Хороший и плохой scope в программах багбаунти
  • Как выбираю цель? Конкретная программа или наобум?
  • Как определиться куда копать? Работа с доменами в скопе
  • Разбор работы с х1
  • Список групп и каналов с инфой
  • !!! Почему багбаунти это плохо !!!

Топ 5 тулз, которыми я пользуюсь для поиска багов

Я пользую в работе и поиске багов всего несколько тулз, потому что в большом их количестве просто нет необходимости. Расставлю их по приоритету:

1) BurpSuite. Его я ставлю на первую строчку, так как я в большинстве случаев смотрю проходящие пакеты запросов и ответов не зависимо от того, играет ли он какую-то роль в найденной уязвимости или нет. Порой их чтение дает мне дополнительные шансы на выявление уязвимостей и недочетов какого-либо сервиса. Да и к тому же в бурпе полно дополнительных модулей, которые помогают в работе. Разберитесь с ним. Не пожалейте времени на обучение или задолбайте товарища, который его знает и разберитесь. Он очень удобен. (ничего не имею против аналогов)

2) Dirsearch. Дирсерч пользую так же по дефолту чаще для сбора информации о том, что я имею и где могу развернуться. Но использую его со словарем товарища b00om-a, потому что его словарик более исчерпывающий, нежели дефолтный словарь дирсерча. Заменить его можно в папке dirsearch/db/dicc.txt

3) nmap. Данная штука мне помогает на тачках в hackthebox. Думаю все и так знают что это и для чего. Останавливаться не стану.

И по факту, жизненно необходимых утилит больше в этом списке нет.

Дополнительно я использую еще:

4) sqlmap, когда не уверен реально ли есть скуля или мне показалось и это фолз, или же акунетикс мне сказал, что там скуля, а проверить вручную не удается.

5) Acunetix. Он мне нужен по большей части чтоб в фоне проработать и профаззить те дыры, которые возможно мой мозг не заметит. Потому что я стараюсь не искать классические дыры, а ориентироваться на логику.

Это все утилиты, которые я использую на постоянной основе. Все остальные тулзы используются пару раз и забываются на века. Потом заново искать приходится)

Топ 5 багов, которые я находил и чаще всего мне встречаются

Самая, наверное, встречающаяся мне бага это конечно xss, потому что, наверное, ее довольно таки часто оставляют. И не смотря на то, что овасп по сей день утверждает что скули это самые распространенные дыры, в багбаунти, во всяком случае у меня лично, рейтинг малость другой.

Следом идет path и directory traversal. После них в топе csrf и ssrf.

Что больше всего бесит в багбаунти и на hackerone

На самом деле нереально бесит, и вы с этим столкнетесь, если будете репортить баги на hackerone (далее и везде — х1), да и не только на х1, то, что мне, как человеку, который хотя бы косвенно обеспечивает безопасность каких либо сервисов в программах багбаунти, приходится доказывать уязвимости, найденные мною. Вы могли неправильно подумать, прочитав предложение выше, и скажете «ну а как по твоему тебе выплатят деньги то?», но я не про стандартное объяснение уязвимости staff-у программы (человек, который рассматривает твой отчет/репорт) с предоставлением РОС-а, а про то, когда наитупейшие стафы рассказывают про то, что та или иная уязвимость не имеет impact-а или они вообще ее не могут воспроизвести. А происходит это либо из-за некомпетентности работников, либо из-а жадности компании. Почему-то такие конторы как gitlab, github, paypal и тд и тп и в тч, прекрасно принимают уязвимости и порой могут даже помочь в раскрутке их. Мне известны случаи, когда стафы программы говорили багхантеру, что возможно там-то и там-то будет что-то большее.. поковыряйся еще бро! мы пока не будем исправлять в течении такого-то срока. если вдруг найдешь что-то, то пиши!

Бесят h1 staff. Это архитупые ребята, которые бракуют валидные отчеты просто пачками ежедневно. Через них проходят все репорты в программах, радом с которыми есть надпись Managed. Компании платят большие деньги чтоб эти ребята отсеивали мусор, по типу «я изменил html код и теперь у меня на странице в paypal миллиард долларов. исправьте уязвимость. правда при обновлении они почему-то исчезают». Но эти люди настолько некомпетентны, что не отличают годный отчет от отчетов скрипткиди.

Хороший и плохой scope в программах багбаунти

Хороший скоп = большой скоп)

То есть если вы заходите на программу и видите:

*.domain.com

*.lol.kz

*.pay.pl

kakoi-to_domain.do

и тд и тп

То это годный скоп. В нем можно забуриться и искать. Если вы думаете, что там все изрыли до вас, то не забывайте, что все обновляется чуь ли не ежедневно и большие компании, котрые кладут программу на х1, стараются (именно стараются) следить за тем, чтоб их сервисы не устаревали. Ну типа появляются новые баги, новые cve и тд и тп и этому всему нужно следовать (как будто следят за модой), ибо хакеры тоже не спят. А чем больше скоп — тем сложнее абсолютно везде качественно обновляться. И не забывайте, что разрабы — это не багхантеры. Они конечно знают довольно неплохо как работают уязвимости и как от них защититься, но они в большинстве своем не думают как хантеры.

Соответственно плохой скоп — это маленький скоп, где следить за всем гораздо легче. Если я выложу в багбаунти сайт визитку, на котором все прикрыто, то, соответственно, баунти платить и не придется, потому что там не найдут ничего.

Как выбираю цель? Конкретная программа или наобум?

Листаю такой 

https://hackerone.com/directory?offers_bounties=true&asset_type=URL&order_direction=DESC&order_field=started_accepting_at

и смотрю каждую программу, со скопом и ценами по нраву) Тут, лично у меня нет никакой методологии. Единственное, когда выходит новая версия акунетикса, с новыми cve, я стараюсь искать огромные скопы, чтоб запихнуть на скан по 3-4 тысячи поддоменов. А так — никакой стратегии тут нет.

Как определиться куда копать? Работа с доменами в скопе

Изначально я смотрю как работает сервис и смотрю какой у него функционал. На этом этапе я вспоминаю дисклоуз отчеты на х1, которые могли затрагивать такой же функционал. Тут же можно найти логические уязвимости. Далее опробовав то, что вспомню, я собираю информацию полностью по сайту. Типа какая cms, прогоняю nmap-ом, в shodan чекаю что есть интересного. Если все чисто и не придраться, то залажу в голову за классическими уязвимостями и стараюсь каждую по очереди найти. Но, по правде говоря, не удается практически никогда сконцентрироваться на одной дыре и стараться искать только ее, потому что в голове всплывают новые векторы атаки и тут же хочется их опробовать, пока не забыл)

Всегда начинайте с изучения объекта ресерча, потому что вслепую никто ничего не делает. Только в акунетикс можно вслепую запихнуть поддомены и ждать результат

Разбор работы с х1

Как бы тривиально не звучало, но.. зарегистрируйтесь. Это поможет вам писать репорты)

Залазьте в for hackers → directory. Шлёпните слева в фильтре на нужные вам условия и просматривайте список предложенных программ. 

Выбрали программ? Щёлкните на нее и посмотрите какие предоставляет она условия.

Все устроило? Вперед по доменам которые помечены in scope

Итак, вы нашли баг. На странице с условиями программы в самом верху справа от аватарки программы есть кнопочка submit report. Жми на нее как можно скорее, иначе возможно кто-то найдет этот баг и отправит его раньше тебя. В таком случае вместо выплаты тебя ждет надпись Duplicate и минус в репутации.

Итак добрались до отправки отчета

Asset — здесь мы выбираем тот домен, на котором найден баг

Weakness -вид и тип уязвимости которая была найдена

Severity (optional) — здесь уязвимости можно дать оценку. То есть как ты оцениваешь ее. Либо же воспользоваться калькулятором оценки. Но зачем заморачиваться если можно прямо сразу ее оценить)

Proof of Concept — здесь вам придется дать название своему отчету, а после этого - описать уязвимость. Лично я придерживаюсь формата обычного общения со стафами и пока никто не выразил свое недовольство по поводу оформления отчета. То есть я рассказываю небольшую историю как пришел к дыре (для того, чтоб в случае дисклоуза моего отчета, все могли понять как и почему я попал именно туда, где нашел уязвимость. делайте так всегда, чтоб дисклоузы были информативны для всех), после чего описываю домен, где уязвимость найдена и как нашел домен. Потом оставляю реквест и респонс, если этого требует уязвимость. Далее расписываю максимально подробно степсы (шаги). И конечно оставляю скрины с пруфом дыры. И возьмите за правило всегда скринить и записывать скринкаст своей уязвимости, для того чтоб лишний раз пруфнуть стафу.

Список групп и каналов с инфой

На самом деле я читаю информацию и новости онли в твиттере и в тех же чатах, где сидите все вы (webpwnchat, info sec | chat, канал Кавычка, чаты различных ctf и тд и тп) и новую информацию я черпаю в основном когда прктикуюсь. Дам вам ссылочку на свой твиттер, дабы посмотрели, кого я читаю и взяли на вооружение! twitter.com/area_fishing. Так как я по большей части практикуюсь, то решил вставить вам списочек мест где можно потренить.

HackTheBox

https://www.hackthebox.eu

Vulnhub

https://www.vulnhub.com

Practical Pentest Labs

https://practicalpentestlabs.com

Labs Wizard Security

https://labs.wizard-security.net

Pentestlab

https://pentesterlab.com/

Hackthis

https://www.hackthis.co.uk

Shellter

https://shellterlabs.com/pt/

Root-Me

https://www.root-me.org/

Zenk-Security

https://www.zenk-security.com/epreuves.php

W3Challs

https://w3challs.com/

NewbieContest

https://www.newbiecontest.org/

The Cryptopals Crypto Challenges

https://cryptopals.com/

Penetration Testing Practice Labs

http://www.amanhardikar.com/mindmaps/Practice.html

alert(1) to win

https://alf.nu/alert1

Hacksplaining

https://www.hacksplaining.com/exercises

Hacker101

https://ctf.hacker101.com

Academy Hackaflag

https://academy.hackaflag.com.br/

PentestIT LAB

https://lab.pentestit.ru

Hacker Security

https://capturetheflag.com.br/

PicoCTF

https://picoctf.com

Explotation Education

https://exploit.education/

Root in Jail

http://ctf.rootinjail.com

CMD Challenge

https://cmdchallenge.com

Try Hack Me

https://tryhackme.com/

Hacking-Lab

https://www.hacking-lab.com/index.html

PWNABLE

https://pwnable.kr/play.php

WHO4REYOU

https://34.73.111.210

Google CTF

https://capturetheflag.withgoogle.com/

ImmersiveLabs

https://immersivelabs.com/

Attack-Defense

https://attackdefense.com/

OverTheWire

http://overthewire.org

SANS Challenger

https://www.holidayhackchallenge.com/

SmashTheStack

http://smashthestack.org/wargames.html

!!! Почему багбаунти это плохо !!!

Это мое личное мнение к которому я пришел, начав решать тачки на hackthebox. Багбаунти учит вас только до определенного момента и лишь искать уязвимости, а не эксплуатировать их. А учит багбаунти вас до того момента, пока вы не наберете в голове определенную базу знаний с последовательностями действий, которые будете проверять на множестве доменов, для того, чтоб просто найти баг, сдать его и получить вознаграждение. Процентов 70-80 из подписчиков канала залезут на хтб (hackthebox) и не смогут решить ни одной тачки. Много кто даже подключиться или зарегистрироваться не сможет. Это говорит не о том, что люди тупые, а о том, что разные цели, пусть и в одном и том же деле, дают разный результат в твоем развитии. 

Это лично мое мнение и прошу за него сильно не бить)

Если что-то интересует, то добро пожаловать в личку, в чат.. если найдете еще способы связи со мной, то используйте и их) И, пожалуйста, не стесняйтесь писать в чат и в лс в частности, потому что канал создан для развития. В чате сидят такие же незнающие люди как и вы и никто никого ни за что унижать и высмеивать не собирается. Вся токсичность в чате пресекается для создания максимальной лояльности к новичкам для поднятия уровня знаний всех и каждого. В лс так же пишите по любым вопросам. Порой мне самому интересно разобраться в чем-то)

Канал: t.me/api_0

Чат: t.me/api_00

Я: t.me/areafishing


Report content on this page

Report Page

Please submit your DMCA takedown request to dmca@telegram.org