Parte 2
Basicamente, perdi 30 min pra descobrir que se tu tacar um key sem valor numa url e passar pro httpx ele normaliza o =

echo url.com/?teste= | httpx
vira
url.com/?teste

echo url.com/?teste= | ~/go/bin/httpx -debug-req 2>&-
https://url.com/?teste


Vivendo e aprendendo a testar as ferramentas do dia a dia
fui de curl --path-as-is mesmo e fodasse.

Como é uma ferramenta de código aberto, indiquei esse problema pra comunidade. Sou limitado com golang então não tenho skill o suficiente pra criar um PR que conserte isso:

https://github.com/projectdiscovery/httpx/discussions/2276
Parte 1
Ontem eu tava criando uma oneliner no terminal pra explorar um comportamento especifico que eu tinha encontrado em um programa de bugbounty.

Estranhei que ele nao tinha sido trigado, coloquei o -proxy no httpx pro meu burp e comecei a tentar entender. Mesmo com a url que eu sabia que tava vulneravel, nao tava rolando da forma que eu tinha automatizado.

Era um cenario de bypass de ssrf, que eu usava um open redirect com o dominio da empresa.

Descobri que na real o problema era o… HTTPX?!

Sim, nunca confie os resultados de um scan 100% de uma ferramenta, mesmo que seja a mais usada possivel, ela sempre pode ter limitacoes e bugs, vou explicar qual foi o caso
Pra quem não tá ligado, tenho um podcast que convido uma galera fera pra compartilhar sua experiência.

O Podcast se chama StreetCyber Cast

Resolvi criar uma página no site reunindo todos os já publicados em um só lugar <3

https://brunomenozzi.com/street-cyber-cast/
Bruno Menozzi aka Zeroc00i
Street Cyber Cast
🎧 Conversas Descomplicadas sobre Cibersegurança Seja bem-vindo ao Street Cyber Cast!
Aqui, quebramos a formalidade para falar de Segurança da Informação e Bug Bounty na moral.
Abaixo, confira os episódios mais recentes para não perder nenhuma dica, história…
Bruno Menozzi (Zeroc00I)
Pessoal, aproveitando que já to conhecendo um pouco mais de vocês e pedir 1 minuto de vocês para responder o que fez vocês entrar no grupo e o que tá mais gostando / sentindo falta https://forms.gle/PqafZiNEm9SsxHc49 (formulário anônimo, sem login) TMJ
Obrigado a todos que responderam até agora, vai ajudar bastante e melhorar o canal aqui.
Vou deixar aberto ainda para quem se esqueceu de responder
Pra quem quiser testar seus conhecimentos de descobertas de subdomínios: https://www.cloudsecuritychampionship.com/challenge/4
Tem um terminal no site, sem registro / login e com ferramentas instaladas
To começando a criar uma página com tricks de bash, para quem tiver interesse de acompanhar. Talvez as mais legais eu passe a postar aqui de vez em quando.

https://brunomenozzi.com/posts/bash-tricks/EOF/
Pessoal, aproveitando que já to conhecendo um pouco mais de vocês e pedir 1 minuto de vocês para responder o que fez vocês entrar no grupo e o que tá mais gostando / sentindo falta

https://forms.gle/PqafZiNEm9SsxHc49 (formulário anônimo, sem login)

TMJ
Bruno Menozzi (Zeroc00I)
Você já reportou algo em bugbounty?
Pra conhecer mais vocês 😁 e tambêm vocês saberem a galera que tem por aqui
Você já reportou algo em bugbounty?
Anonymous Poll
6%
Não, ainda não sei mt bem do que se trata
0%
Não, mas já ouvi falar algo sobre isso
19%
Não. Já ouvi falar algo sobre isso e to vendo de como começar
38%
Sim, mas uma ou por volta de três vezes, e não foi algo recompensado
6%
Sim, mas uma, três vezes, e FORAM pagas $$$
19%
Sim, algumas vezes e FORAM pagas $$$
13%
Sim, praticamente vivo disso.
0%
Sim, só vivo disso
Claro, isso depende da metodologia que tu escolhe pra bugbounty. Automação geralmente o hunter não vai focar nesses cenarios com chains / mais complexos. As vezes acaba reportando tudo de uma vez mesmo e já era. Bora para o próximo report.
Mas caso você prefira a opção de escolher poucos programas / estudar programas a longo prazo, isso vale demais.
Galera, fiquem ligados em não simplesmente reportar open redirects sem impacto para os programas de bugbounty e no máximo eles pagarem pra vocês um bounty low.
Conforme o tempo passa, você pode ficar mais seguro de guardar esses low hanging fruits (vulnerabilidades bobinhas) para somar elas e fazer uma chain (cadeia) de vulnerabilidade massa

Por exemplo, se você achar um SSRF e a empresa mitigar com uma allow list só de dominios dela... Você usa o open redirect e ganha o bounty de SSRF novamente, pelo bypass do fixing =)
Galera, quem estiver contratando (ou souber quem) para área de cybersec e quiser me mandar link para divulgar aqui, pode mandar DM =)
Já temos uma boa quantidade de gente para ter essa troca
"Essa API tem uma vulnerabilidade de serialização de objeto"
Para ler depois ++:

https://datadome.co/threat-research/how-new-headless-chrome-the-cdp-signal-are-impacting-bot-detection/#:~:text=Provoking%20Object%20Serialization
DataDome
How New Headless Chrome & the CDP Signal Are Impacting Bot Detection
How New Headless Chrome & the CDP Signal Are Impacting Bot Detection
Learn how the new Headless Chrome's near-perfect fingerprint and the CDP signal have impacted bot detection recently.
O thermoptic se destaca de outras ferramentas de scraping por sua abordagem única e técnica. Frameworks de automação como Puppeteer e Selenium são facilmente detectados mesmo com o uso de plugins como puppeteer-extra-plugin-stealth, pois a lógica de detecção é um jogo de gato e rato.

O thermoptic resolve isso na raiz, evitando as flags de automação, como navigator.webdriver, que denunciam esses frameworks.

Ele atua como um HTTP proxy que camufla todas as requisições para que pareçam vir de um navegador Chrome real, replicando um fingerprint completo em camadas como TLS, HTTP e DNS.

Isso é crucial para evitar que serviços de segurança detectem a "troca de cliente", que ocorre quando se inicia a navegação com um navegador e depois muda para um cliente HTTP de baixo nível, como o curl.

Para contornar CAPTCHAs como o Cloudflare Turnstile, ele utiliza "hooks", que são scripts que automatizam o navegador. O grande diferencial é que esses hooks evitam a detectável Runtime API do Chrome Debugging Protocol (CDP), frequentemente usada para injetar JavaScript (ex: document.querySelector().click()), pois essa API tem uma vulnerabilidade de "serialização de objeto" que denuncia a automação.

Em vez disso, o thermoptic opta por APIs de baixo nível (Target, Page, DOM, Input). Isso permite que ele simule clicks e interações de usuário de forma mais autêntica, inclusive adicionando "ruído" (fuzzing) às coordenadas e tempos para não parecer robótico e evitar a complexidade de shadow-DOMs e iframes aninhados.

https://github.com/mandatoryprogrammer/thermoptic/blob/main/tutorials/turnstile/cloudflare-turnstile-bypass.md
Hoje estamos em modo slow por aqui. Motivo: dia da celebração da Revolução Farroupilha. Pra quem não sabe, sou do Rio Grande do Sul.
E a gente gosta tanto do nosso estado que até o final de uma festa de funk seria assim:

https://x.com/blognaointendo/status/1968615991417475209?s=46

Abç 🥳😂
X (formerly Twitter)
Não Intendo (@blognaointendo) on X
Ganhou o público
Zeroc00i News & Tricks
Curte estudar windows? A Compass Security ta fazendo uma saga que tá parecendo muito promissora. Eu vou assistir esses vídeos ainda. São vídeos com um deep dive de quase 2 horas cada Kerberos Deep Dive Part 1 - Introduction https://www.youtube.com/watch?v=pzrtfRpPVM4…
Saiu a parte 6

E já acresci na página dedicada a essa série =)

https://brunomenozzi.com/posts/kerberos-series/
https://lab.ctbb.show/research/Exploiting-web-worker-XSS-with-blobs

O critical thinking tá incentivando pesquisas web e remunerando quem submeter.

Já tem uma micro pesquisa massa:
https://lab.ctbb.show/research/Exploiting-web-worker-XSS-with-blobs
Before
After
Back to Top