Cześć,
.
Wiecie i zlewacie czy jak to działa, bo nie wiem trzymać na Hold czy dawać FD tego i pozostałych?
https://www.openbugbounty.org/incidents/185684/
.
DonkeyJJLove
2
0
Witam
Oczywiście będziemy wdzięczni za informację. Proszę o więcej informacji pod adresem [email protected]
0
Super fajnie - wysłane.
0
@donkeyJJLove, jesteśmy wdzięczni, ale spokojnie, nie ma potrzeby być nieuprzejmym i tym bardziej grozić full disclosure XSSa po ~24 godzinach przez próbą podjęcia bezpośredniego kontaktu z administratorami.
0
Eee, wyszło to na nie uprzejme. To przepraszam, nie taki był mój cel. To zwyczajne pytanie. Bo FD nie jest niczym do "grożenia". Wiele osób, w tym google przyjęło taką strategię - to było tylko pytanie jak mam to zrobić i wcale nie dlatego, że miałem problem z kontaktem. Ot, po prostu pytanie. No może trochę cyniczne. Bo "zlewacie". Ale nie robicie naleśników, to myślałem, że zostanie zrozumiane jako "zwyczajny" branżowy cynizm. W każdym razie jeśli ktoś potraktował to jako nieuprzejmą groźbę, to przepraszam. Jak najbardziej przyszedłem w pokoju, na loozie w dobrym humorze i po prostu zapytałem, wprost. Nie jestem z tych co kogokolwiek czymkolwiek straszą czy komukolwiek czymkolwiek grożą. Co chyba potwierdza ten i przyszłe bugi, które po prostu w imię branżowego koleżeństwa przekaże.
1
Peace :). Prosimy o więcej!
0
Zatem kolejny wysłany.
.
https://www.openbugbounty.org/incidents/186036/
0
@Adam Boduch, dodaj alias [email protected] jeszcze.
0
@donkeyJJLove: dziękuje za zgłoszenia. Błędy te zostaną poprawione. Jednocześnie zachęcam do testowania nowej, testowej wersji serwisu: http://dev.4programmers.info :)
0
Wiem o nowej wersji i jasne, to trochę spóźnione ale tak, tak zrobię Lab i Bota do nowej wersji.
0
@donkeyJJLove Oczywiście spoko, że szukasz takich dziur i XSS'ów, a potem o tym informujesz.
Mógłbyś opisać pokrótce, jak to robisz i jak się za to zabierasz? XSS jaki jest, każdy widzi. Ale bardziej jak konkretnie tego szukasz? Bo widać w poprzednim poście piszesz o jakichś labach i botach. Oczywiście od pentestingu i szukania dziur jest mnóstwo podręczników i tutoriali, ale samo podejście spoko poznać.
Jak kiedyś bawiłem się w szukanie XSS'ów (jak chyba każdy, gdy poznał co, to jest ;) ), to po prostu szukałem pól z inputem i wstawiałem tam kod HTML'a. Ale widać, że masz po 2-3 zgłoszenia dziennie, to znaczy, że jest w tym jakieś inne podejście. Byłoby miło, gdybyś to opisał.
4
No cóż. Nie jestem raczej dobry w opisywaniu.
.
Temat, o którym rozmawiamy jest bardzo szeroki. Jest to metodologia od architektury i .asm do .js. Przez wiele narzędzi, które w istocie sprowadzają się do list payload'ów, różnego rodzaju. Od aktywnych do pasywnych, te są już bardziej regułami, niż samymi ciągami znaków. W/w funkcjonują w swoistych kombajnach jak OWASP ZAP, czy W3AF jako różnego typu moduły. Moduły o różnym przeznaczeniu. Upraszczając, preparują one zapytania względem logiki kombinacyjnej (czasem siłowej) tu powstaje request (tu jest jeszcze całe proxy, bypass CORS preparacja pakietów PIPE, STREAM), szukając błędów, a precyzyjniej miejsc w których kod przestaje być kontrolowany (np. źle obsłużone błędy). Z analizy takich "dziwnych zachowań" — np. blank page (i błędów), powstaje pewna nieczytelna tu jeszcze logika, z której w konsekwencji (po przeanalizowaniu) powstaje logika a z niej payload (kod tej logiki). Trafia on do listy bota, który analizuje system dopasowując użyte listy do przypadku, który analizuje. Jest to apache, to wiemy, że nie jest nginx (upraszczam, dla zobrazowania).
.
Tu mamy "złapaną" jakby całość. Od pasywnej analizy, przez szukanie błędów i niekontrolowanych zachowań (aktywna analiza), przez reguły błędów w syntax (pasywna analiza) do analizy tych zachowań. Dalej do stworzenia payload i list payload. Do analizy systemu: czyli scanu i ataku korelowanego ze scanem. Stąd mamy dwa elementy Lab - czyli to co atakujemy pasywnie i aktywnie (powiedźmy) lokalnie. I BOT, czyli ta część która jest jakby wykonawcą zadań względem scan, posiada "wiedzę" LAB i poprzez kolejny element. Zazwyczaj gdy mamy do czynienia z BOTNET, a nie z jednym BOT (są jeszcze inne zadania, typowo sieciowe: IP, TRASA, SYN, ASK, preparowanie pakietów, szyfrowanie nazw domen (;) ), analiza honeypot - to też duże źródło wiedzy jakby spoza abstraktu) całość składa się na taki tam system badawczy. Do tego oczywiście dochodzi logika klas testowych, mock i inne, parsery, które są jakby składnikiem logiki i abstraktu tego sposobu. Który łączy LAB i BOTNET w jedno środowisko. Są jeszcze scrapery i ogólnie analiza info. Która też jest bardzo istotna by być FRESH. Sposobu? Tak. Ja nie specjalnie czytam książki związane z pentestami. Rozumiem, co to metasploit i analiza systemu na okoliczność znanych luk. Ale ja szukam nowych. Więc takie narzędzia, nie mają tu zastosowania. Atakuje systemy które zazwyczaj są prawidłowo aktualizowane i właściwie upgradowane. Używam głównie NetBeans i piszę narzędzia, czasem używam, wcześniej wspomnianych, kombajnów. To upraszcza, tworzenie skryptów, rozszerzeń. Jest wsparte, więc oszczędza czas i na końcu jak już mam przygotowane skrypty, moduły a całość działa pięknie. Jakoś tak to wygląda. Nie znam się jakoś specjalnie na narzędziach do pentest. Analizuje błędy, szukam "dziwnych" zachowań i staram się odkryć z czego one wynikają. Z mojej perspektywy to jest to debug: X-DEBUG, MOZ-DEV (i debug .js w tym), GDB (niżej), EDB (jak mnie oczy bolą od shell), NMAP. Także w tym nie ma żadnej specjalnej filozofii. Po prostu jest nastawienie się (motywacja), zbudowanie systemu pod taki TASK, otoczenia i kodu. Z nastawieniem na atak. W tym jest zdobywanie wiedzy o aktualnych problemach SEC w tej czy innej warstwie czy tym czy innym poziomie, bądź oprogramowaniu. I dalej, dalej jest XSS. Ale bardziej to wnikliwe badanie tych przypadków, budowa narzędzi do identyfikacji takich przypadków. Plus oczywiście olbrzymie wsparcie community SEC, które upraszcza sprawę poprzez publikacje POC, koncepcji, własnych payload, poprzez analizę exploit, analizy wsteczne (INFO).
.
I tyle, chyba to wszystko, co jestem w stanie, tak w skrócie na tak szeroki temat powiedzieć by ten elaborat nie zamienił się w rozdział smutnej książki bez linijki kodu.
1
Zapomniałem napisać, że te błędy które zgłosiłeś @donkeyJJLove zostały naprawione.
0
Super :DDDDD