статистика аудитории ANTICHAT Channel

Since the beginning of the war, more than 2000 civilians have been killed by Russian missiles, according to official data. Help us protect Ukrainians from missiles - provide max military assisstance to Ukraine #Ukraine. #StandWithUkraine

#api #params > Ничего не могу найти на сайте, может ещё что-то посмотреть? Иногда встречается сайт, на котором всего лишь несколько конечных точек. Казалось, все параметры были проверены на уязвимости, а в чек-листе отмечены любые возможные проверки на инъекции и логику. Однако, бывают уязвимости, которые не видны с первого взгляда. Например (CAPEC-460) HTTP Parameter Pollution или (CWE-472) External Control of Assumed-Immutable Web Parameter. Данные ошибки возникают из-за неожиданного поведения в функциях обработки параметров. Давайте рассмотрим первую атаку HTTP Parameter Pollution, она состоит из возможности добавления повторяющихся параметров с помощью специальных разделителей запроса. Например, у нас открыт сайт по продаже арбузов в браузере

🌐 example.com/profile.jsp?client_id=1

Для кнопки "Открыть профиль" устанавливается динамически в ответе от сервера html:

<a href="profile.jsp?client_id=1&action=view

А теперь изменим запрос добавив в него параметр и закодировав разделитель

&

как

%26

:

🌐

example.com/profile.jsp?client_id=1%26action%3Ddelete

В результате для кнопки "Открыть профиль" задаётся html:

<a href="profile.jsp?client_id=1&action=delete&action=view

При нажатии на кнопку — профиль пользователя будет удалён. Для того чтобы заставить жертву удалить свой аккаунт, нам нужно отправить ей ссылку и подождать. Это происходит, потому что Apache Tomcat 🐈 при анализе двух одинаковых параметров (

action

) берёт значение первого:

&action=delete&action=view

Вот так выглядит код на стороне сервера:

String client_id = request.getParameter("client_id");
GetMethod get = new GetMethod("https://example.com/profile");
get.setQueryString("client_id=" + client_id + "&action=" + action);

href_link=get.URL;

Разработчик должен был учесть такое поведение и проверить возможность внедрения параметра

action

в

client_id

Вообще, приоритет и процесс обработки параметров можно взять из этой таблицы ниже:

Technology/HTTP backend        | Parsing Result    | Example         |
---------------------------------------------------------------------
ASP.NET/IIS                    | All occurrences   | par1=val1,val2  |
ASP/IIS                        | All occurrences   | par1=val1,val2  |
PHP/Apache                     | Last occurrence   | par1=val2       |
JSP Servlet/Apache Tomcat      | First occurrence  | par1=val1       |
JSP Servlet/Oracle Application | First occurrence  | par1=val1       |
IBM HTTP Server                | First occurrence  | par1=val1       |

Так, для Server: Apache Tomcat будет взято значение из первого совпадения

action=delete

А для Server: Apache значение уже будет

action=view

— последний параметр Но не все сервера используют приоритет порядка, так, например, ASP.NET/IIS конкатенирует значения. Поэтому в случаях, когда выполнению XSS мешает санитизация или WAF, можно составить следующий payload:

example.com/search?param=<audio/n="&param="src/onerror=alert()>

В результате на странице html будет

<audio n="," src/onerror=alert()>

и XSS успешно сработает 💣 Помимо приоритетов, нужно также вспомнить о разделителях для параметров. Существует не только привычный & (амперсанд) и , (запятая) но и ряд других символов, тут нужно обратиться к стандартам и поискать реализации. Если открыть (rfc6570) URI Template можно найти Path-Style Parameter Обычный URL будет следующим:

example.com/users?role=admin&firstName=N

А теперь преобразуем его в вид Path-Style:

example.com/users;role=admin;firstName=N

Использование в качестве разделителя ; (точки с запятой) не повсеместно. Это приводит к различиям обработки во фреймворках и как следствие к уязвимостям, в частности, на микросервисных архитектурах: • CVE-2021-23336 — Python библиотека

urllib.parse.parse_qsl

не игнорирует точку с запятой. • ParseThru — Go библиотека

net/url

не игнорирует точку с запятой и выводит предупреждение

http: URL query contains semicolon...

Следует помнить, что уязвимость HTTP Parameter Pollution может возникать не только в URL, но и в любой части POST/GET запроса, а также в теле JSON. {"client_id":4, "client_id":17, "action":"delete"}

https://portswigger.net/research/framing-without-iframes

https://telegra.ph/razrabotka-prostogo-prilozheniya-pod-Flipper-Zero-05-15

https://rtvi.com/stories/vzlom-odnoj-iz-krupnejshih-v-mire-kriptobirzh/

Дорогие друзья! Нам тяжело сообщать плохие новости, но мы с глубоким сожалением подтверждаем, что главный администратор, основатель и идейный вдохновитель нашего форума Егорыч+++ скоропостижно скончался на 48 году жизни. Последние полтора года он боролся с онкологическим заболеванием, о чём никто, кроме его семьи не знал и даже не догадывался. https://forum.antichat.com/threads/487719/ .

https://swarm.ptsecurity.com/exploiting-arbitrary-object-instantiations/

#sqli #oracle XXE via SQLi Oracle ? Из всех SQL инъекций, которые мне попадались реже всего сталкивался c ORACLE, если не считать прям каких-то редких и специфических. И недавно на пентесте обнаружил инъекцию в ORACLE. При быстром поиске возникли подозрения на XXE, но эксплуатация к сожалению, оказалась невозможна, версия уже запатчена, но вектор интересный, подробнее про этот вектор можно прочитать тут: https://www.netspi.com/blog/technical/web-application-penetration-testing/advisory-xxe-injection-oracle-database-cve-2014-6577/ Но саму SQLi полноценно эксплуатировать получилось все через тот же XMLType. В моем случае это оказался Error-Based и не нужно было думать о передаче данных в DNS записи. Пайлоад в итоге выглядит так, с выводом, как на скрине.

'||(select extractvalue(xmltype('
%jiest;]>'),'/l') from dual)||'

Но, в случае, если у нас слепая инъекция и у нас есть возможность достучаться до DNS, получается DNS – Based OOB SQLi. С помощью такого запроса, как выше можно отправить данные, но если нужно много данных из БД отправить, то стандартным запросом не получится, так как в DNS записях не могут быть пробелы, поэтому пробелы нужно заменить, например, с помощью функции Replace() еще и в Base64 выводить. Удобная штука при эксплуатации: https://livesql.oracle.com/

https://habr.com/ru/post/676942/

https://medium.com/maverislabs/lock-screen-bypass-exploit-of-android-devices-cve-2022-20006-604958fcee3a

https://www.vedomosti.ru/technology/news/2022/07/13/931173-skillbox-bivshih-zaklyuchennih-it-spetsialnostyam

Десер в JS, хули 🙃 https://blog.huli.tw/2022/07/11/en/googlectf-2022-horkos-writeup/

Yii SQL-injection Тут попалась скуля в Yii, в общем то довольно простая и понятная, но информации по скулям в Yii в инете мало, поэтому кажется что стоит написать. PHP фремворк Yii использует свою собственную ORM - Yii ActiveRecord. В этом ORM можно выбирать объекты безопасно:

User::find()->where(['email'=>$email]);
User::find()->where(['IN','user.id',$idList]);

Но также where (а вместе с ним разнообразные andWhere, orWhere и т.д.) может принимать строку, что может привести к скуле при неаккуратном использовании:

User::find()->where("lower(username)=$username")

Хотя вот так тоже все хорошо:

User::find()->where('lower(username)=:username', [':username' => $username])

Произошёл закуп У говноблохеров и помойных СМИ закупили рекламу против VPN-сервисов. Не каких-то конкретных, а вообще всех. В постах блохеры жалуются на зависающие приложения, быстрый разряд батареи и другие проблемы, которые происходят якобы из-за VPN. Слыш, не смей читать заблокированные в РФ сайты, а то аккумулятор сядет

🔥 https://labs.detectify.com/2022/07/06/account-hijacking-using-dirty-dancing-in-sign-in-oauth-flows/

В прошлую пятницу впервые собрался наш «Клуб неанонимных багхантеров». В программе были 4 доклада крутых ресерчеров, уютная атмосфера и много живого общения.  Записей докладов нет, но по ссылке доступны презентации. Темы выступлений: Лик неинициализированной памяти из OneDrive через картинки.  Про историю эксплуатации одной уязвимости в опенсорсе и техники поиска аналогичных багов, Эмиль Лернер  No-code-автоматизация багхантинга на коленке за 5 минут.  Про лайфхаки и опыт исследований, Максим Брагин  Взломай меня… полностью!  Про факапы, успехи, инструменты для багхантинга и самые дорогие баги, Рамазан Рамазанов От Not Applicable до H1 Russian Top.  Про приватную платформу SynAck, переход на full-time, первую пятизначную выплату и New Relic Top-1, Антон Субботин Вам интересны активности нашего клуба? Регистрируйтесь как багхантер на сайте и следите за обновлениями! 🐞🔍🍻

https://www.bleepingcomputer.com/news/security/django-fixes-sql-injection-vulnerability-in-new-releases/

https://habr.com/ru/news/t/674922/

https://habr.com/ru/news/t/674964/

https://rb.ru/news/pik-bughunter/

https://www.gazeta.ru/tech/2022/07/02/15064076.shtml

https://www.elttam.com/blog/golang-codereview/

BUG BOUNTY RECON DATASET PROGRAM: 120 DOMAIN: 434 SUBDOMAIN: 2045531 ASN: 956463 PORT: 193346 WEBSITE: 133165 PROBE: 65193 FAVICON: 32232 SCREENSHOT: 33087