https://anchisesbr.blogspot.com/search/label/H2HC
Pra quem não conhece, o Anchises é oldschool na cena e ele posta nesse blog há muito tempo.
Ah, mas oldschool tipo como?
Segue o print do blog no web.archive em 2007. Mt dahora hauhaa.
TMJ
Ah dai tu me pergunta: po mas o que esse igual ai vai fazer de diferença?
?key=:
Isso universalmente é interpretado como uma chave com um valor de string vazio
?key:
Isso é frequentemente interpretado como chave com um valor nulo, particularmente por frameworks tipo ASP.NET e Ruby on Rails. Outras tecnologias tipo PHP e Node.js podem tratar isso como uma string vazia.
Portanto, diversos comportamentos podem acontecer ou deixar de acontecer simplesmente por essa mudança.
?key=:
Isso universalmente é interpretado como uma chave com um valor de string vazio
?key:
Isso é frequentemente interpretado como chave com um valor nulo, particularmente por frameworks tipo ASP.NET e Ruby on Rails. Outras tecnologias tipo PHP e Node.js podem tratar isso como uma string vazia.
Portanto, diversos comportamentos podem acontecer ou deixar de acontecer simplesmente por essa mudança.
Basicamente, perdi 30 min pra descobrir que se tu tacar um key sem valor numa url e passar pro httpx ele normaliza o =
echo url.com/?teste= | httpx
vira
url.com/?teste
echo url.com/?teste= | ~/go/bin/httpx -debug-req 2>&-
https://url.com/?testeVivendo e aprendendo a testar as ferramentas do dia a dia
fui de curl --path-as-is mesmo e fodasse.
Como é uma ferramenta de código aberto, indiquei esse problema pra comunidade. Sou limitado com golang então não tenho skill o suficiente pra criar um PR que conserte isso:
https://github.com/projectdiscovery/httpx/discussions/2276
Parte 1
Ontem eu tava criando uma oneliner no terminal pra explorar um comportamento especifico que eu tinha encontrado em um programa de bugbounty.
Estranhei que ele nao tinha sido trigado, coloquei o -proxy no httpx pro meu burp e comecei a tentar entender. Mesmo com a url que eu sabia que tava vulneravel, nao tava rolando da forma que eu tinha automatizado.
Era um cenario de bypass de ssrf, que eu usava um open redirect com o dominio da empresa.
Descobri que na real o problema era o… HTTPX?!
Sim, nunca confie os resultados de um scan 100% de uma ferramenta, mesmo que seja a mais usada possivel, ela sempre pode ter limitacoes e bugs, vou explicar qual foi o caso
Ontem eu tava criando uma oneliner no terminal pra explorar um comportamento especifico que eu tinha encontrado em um programa de bugbounty.
Estranhei que ele nao tinha sido trigado, coloquei o -proxy no httpx pro meu burp e comecei a tentar entender. Mesmo com a url que eu sabia que tava vulneravel, nao tava rolando da forma que eu tinha automatizado.
Era um cenario de bypass de ssrf, que eu usava um open redirect com o dominio da empresa.
Descobri que na real o problema era o… HTTPX?!
Sim, nunca confie os resultados de um scan 100% de uma ferramenta, mesmo que seja a mais usada possivel, ela sempre pode ter limitacoes e bugs, vou explicar qual foi o caso
Pra quem não tá ligado, tenho um podcast que convido uma galera fera pra compartilhar sua experiência.
O Podcast se chama StreetCyber Cast
Resolvi criar uma página no site reunindo todos os já publicados em um só lugar <3
https://brunomenozzi.com/street-cyber-cast/
O Podcast se chama StreetCyber Cast
Resolvi criar uma página no site reunindo todos os já publicados em um só lugar <3
https://brunomenozzi.com/street-cyber-cast/
Obrigado a todos que responderam até agora, vai ajudar bastante e melhorar o canal aqui.
Vou deixar aberto ainda para quem se esqueceu de responder
Vou deixar aberto ainda para quem se esqueceu de responder
Tem um terminal no site, sem registro / login e com ferramentas instaladas
https://brunomenozzi.com/posts/bash-tricks/EOF/
https://forms.gle/PqafZiNEm9SsxHc49 (formulário anônimo, sem login)
TMJ
Claro, isso depende da metodologia que tu escolhe pra bugbounty. Automação geralmente o hunter não vai focar nesses cenarios com chains / mais complexos. As vezes acaba reportando tudo de uma vez mesmo e já era. Bora para o próximo report.
Mas caso você prefira a opção de escolher poucos programas / estudar programas a longo prazo, isso vale demais.
Mas caso você prefira a opção de escolher poucos programas / estudar programas a longo prazo, isso vale demais.
Galera, fiquem ligados em não simplesmente reportar open redirects sem impacto para os programas de bugbounty e no máximo eles pagarem pra vocês um bounty low.
Conforme o tempo passa, você pode ficar mais seguro de guardar esses low hanging fruits (vulnerabilidades bobinhas) para somar elas e fazer uma chain (cadeia) de vulnerabilidade massa
Por exemplo, se você achar um SSRF e a empresa mitigar com uma allow list só de dominios dela... Você usa o open redirect e ganha o bounty de SSRF novamente, pelo bypass do fixing =)
Conforme o tempo passa, você pode ficar mais seguro de guardar esses low hanging fruits (vulnerabilidades bobinhas) para somar elas e fazer uma chain (cadeia) de vulnerabilidade massa
Por exemplo, se você achar um SSRF e a empresa mitigar com uma allow list só de dominios dela... Você usa o open redirect e ganha o bounty de SSRF novamente, pelo bypass do fixing =)
Galera, quem estiver contratando (ou souber quem) para área de cybersec e quiser me mandar link para divulgar aqui, pode mandar DM =)
Já temos uma boa quantidade de gente para ter essa troca
Já temos uma boa quantidade de gente para ter essa troca
"Essa API tem uma vulnerabilidade de serialização de objeto"
Para ler depois ++:
https://datadome.co/threat-research/how-new-headless-chrome-the-cdp-signal-are-impacting-bot-detection/#:~:text=Provoking%20Object%20Serialization
Para ler depois ++:
https://datadome.co/threat-research/how-new-headless-chrome-the-cdp-signal-are-impacting-bot-detection/#:~:text=Provoking%20Object%20Serialization
DataDome
How New Headless Chrome & the CDP Signal Are Impacting Bot Detection
Learn how the new Headless Chrome's near-perfect fingerprint and the CDP signal have impacted bot detection recently.
O thermoptic resolve isso na raiz, evitando as flags de automação, como navigator.webdriver, que denunciam esses frameworks.
Ele atua como um HTTP proxy que camufla todas as requisições para que pareçam vir de um navegador Chrome real, replicando um fingerprint completo em camadas como TLS, HTTP e DNS.
Isso é crucial para evitar que serviços de segurança detectem a "troca de cliente", que ocorre quando se inicia a navegação com um navegador e depois muda para um cliente HTTP de baixo nível, como o curl.
Para contornar CAPTCHAs como o Cloudflare Turnstile, ele utiliza "hooks", que são scripts que automatizam o navegador. O grande diferencial é que esses hooks evitam a detectável Runtime API do Chrome Debugging Protocol (CDP), frequentemente usada para injetar JavaScript (ex: document.querySelector().click()), pois essa API tem uma vulnerabilidade de "serialização de objeto" que denuncia a automação.
Em vez disso, o thermoptic opta por APIs de baixo nível (Target, Page, DOM, Input). Isso permite que ele simule clicks e interações de usuário de forma mais autêntica, inclusive adicionando "ruído" (fuzzing) às coordenadas e tempos para não parecer robótico e evitar a complexidade de shadow-DOMs e iframes aninhados.
https://github.com/mandatoryprogrammer/thermoptic/blob/main/tutorials/turnstile/cloudflare-turnstile-bypass.md
Hoje estamos em modo slow por aqui. Motivo: dia da celebração da Revolução Farroupilha. Pra quem não sabe, sou do Rio Grande do Sul.
E a gente gosta tanto do nosso estado que até o final de uma festa de funk seria assim:
https://x.com/blognaointendo/status/1968615991417475209?s=46
Abç 🥳😂
E a gente gosta tanto do nosso estado que até o final de uma festa de funk seria assim:
https://x.com/blognaointendo/status/1968615991417475209?s=46
Abç 🥳😂
