Предлагам: Security challenge с награди - фокус JWT/auth уязвимости

M

metaverse

Well-Known Member
Рейтинг - 0%
0   0   0
Тук има доста колеги програмисти, които са напред с материята. Или поне съдейки по коментарите ви в различни теми, в които се включвате се надявам да има. Аз не съм програмист, но съм security freak и geek по душа. :)

За един от проектите си стартирам pilot/old school Bug Bounty програма. Наградите са между €100 и €500. Повече за правилата и какъв скоуп покрива тук https://nettingale.com/security

Предпочитам да работя с някой от България. Ако до 2-3 месеца няма резултат ще пусна официално в популярни хакерски платформи. Засега само тук и други български общности, защото искам да довърша няколко неща за да ги добавя към скоупа и да отворя регистрациите.

Всичко е писано с ИИ. Нямам никаква вяра на промптовете си, така че очаквам да има интересни логически дупки.

Има и вграден capture the flag елемент с много известна уязвимост, която на човек с опит не би трябвало да му отнеме повече от 15-30 минути за да я намери и да стигне до крайната цел.
По нея можете да се ориентирате дали имате достатъчно знания и дали можем да работим заедно. Подходяща е за хора, които изграждат портфолио в тази сфера.

Happy hacking! 🤓
 
не се чете, липсва нормална цветова схема.
500 еврака може в револют :D
 
1767980872953.png
1767981592625.png

1767981643062.png

Трябва да се стремиш да повишиш на клас А или А+ сайта, за момента си клас С.
Освен това тествай си го през https://www.immuniweb.com/websec/ макар моят тест да превъзхожда теста на immuniweb.com

Реакцията от 72 часа е изключително бавна за платформа от такъв ранг!

Стартирай eyeball ISP комбинирано с uptime на 1 минута и когато uptime засече проблем се включва автоматично eyeball ISP с доказателствени скрийншотове.

1767981462393.png
 
Браво за програмата и успех.

Поздрави.
 

1️⃣ Най-голямата грешка:​


Той смесва три различни неща:


  • security.txt (OK)
  • bug bounty програма (частично OK)
  • CTF с нарочно вградена уязвимост (❌ проблем)

Защо това е грешка​


Bug bounty програмата трябва да търси непреднамерени уязвимости.
CTF уязвимостта е:


  • умишлено вкарана
  • предварително известна (дори с CVE hint)
  • насочваща

Това обезсмисля bounty-то:


  • намираш не security issue, а загадка
  • reward-ът не е за реален риск
  • няма реална оценка на сигурността

👉 Факт: HackerOne, Bugcrowd и Synack изрично забраняват “intentional vulnerabilities” в scope.



2️⃣ CVE-2015-9235 – това е фатално лош ход​


Тук вече има твърда техническа грешка.


Защо?​


  • CVE-2015-9235 не е JWT уязвимост
  • JWT уязвимостите, които хората познават, са:
    • CVE-2015-2951 (alg=none)
    • CVE-2016-10555
    • CVE-2018-0114 и т.н.

👉 Това означава едно от двете:


  1. той не знае какво CVE цитира, или
  2. нарочно е сложил грешен CVE, което прави “CTF hint”-а подвеждащ

И в двата случая → непрофесионално за security програма.


Как го хващаш:


CVE-2015-9235 няма общо с JWT. Ако това е hint – той е технически грешен.
Увеличете...


3️⃣ Scope-ът е логически противоречив​


Какво пише:​



<span><span><span>IN: api.ng-stage.com</span></span><span><br></span><span><span>IN: app.ng-stage.com</span></span><span><br></span><span><span>OUT: *.nettingale.com (production)</span></span><span><br></span></span>

Проблемът:​


  • security.txt е на nettingale.com
  • bug bounty е само за ng-stage.com
  • няма доказателство, че ng-stage.com е собственост на nettingale.com
  • няма AS / ownership доказване

👉 Това е червен флаг за researcher:


“Ако намеря критичен бъг в stage, който важи и за prod – плаща ли се?”
Увеличете...

Няма отговор.



4️⃣ Няма Safe Harbor (юридически проблем)​


Никъде няма текст от типа:


“We will not pursue legal action for good faith research.”
Увеличете...

Това е задължително за легитимна програма.


Без него:


  • researcher-ът поема риск
  • bounty програмата е юридически слаба
  • сериозни хора няма да участват


5️⃣ “No automated scanning” – но няма дефиниция​


Това правило е прекалено широко.


Въпроси без отговор:


  • Burp repeater allowed?
  • Intruder single-thread?
  • ffuf?
  • custom scripts?

Така всеки report може да бъде отхвърлен с:


“Това е автоматизирано.”
Увеличете...


6️⃣ Reward таблицата е marketing, не методология​





Липсва:


  • CVSS версия (v3.1?)
  • критерии за impact
  • reproduction requirements
  • definition на “auth bypass” / “token hijacking”

👉 Това дава пълна субективност на triage-а.



7️⃣ “Only test on staging” + JWT hint = противоречие​


JWT проблемите почти винаги са logic/design issues, които:


  • важат и за production
  • не са “staging-only” by nature

Т.е. той казва:


“Тествай само staging, но уязвимостта е архитектурна.”
Увеличете...

Това е логически конфликт.



8️⃣ security.txt се използва като CTF страница ❌


security.txt стандартът е:


  • машинно четим
  • минималистичен
  • без геймификация

Тук имаме:


  • цитати от Matrix
  • riddles
  • hints
  • path disclosure (/api/v1/auth/flag)

👉 Това е неправилна употреба на security.txt и ще бъде отхвърлено от сериозни security екипи.




Идеята е интересна, но това в момента не е bug bounty, а CTF върху staging.
Има няколко сериозни проблема: липсва safe-harbor, CVE-2015-9235 няма общо с JWT, scope-ът не дефинира какво става ако design flaw важи и за prod, а security.txt не е място за riddles и intentional vulnerabilities.
Ако целта е реална security програма – трябва да се разделят CTF и bug bounty, и да се добави ясна методология.
Увеличете...

Това е технически неопровержимо.



Финален извод (директно)​


  • ❌ Това не е пълноценна bug bounty програма
  • ⚠️ Това е CTF + marketing + partial security policy
  • ❌ CVE hint-ът е грешен
  • ❌ Липсва legal safe harbor
  • ❌ Смесва standards (security.txt) с игра


Claim (какво твърди)Reality (какво реално е)Защо е проблем
„Bug Bounty програма“По същество CTF със вградена уязвимостBug bounty търси непреднамерени уязвимости; CTF е игра
„Security Research Program“Липсва Safe Harbor / Legal ProtectionБез това сериозни security изследователи не участват
„Scope: staging only“JWT / auth flaws са design-level, не staging-onlyНяма яснота дали важи за production
„Critical: auth bypass“Уязвимостта е умишлено вкаранаТова не е security finding, а puzzle
„CVE-2015-9235“ (hint)Няма общо с JWTТехнически грешен или подвеждащ hint
„No automated scanning“Няма дефиниция какво е „automated“Всеки report може да бъде отхвърлен произволно
„JWT claims hint“Насочване към конкретна уязвимостТова елиминира реалната оценка на сигурността
security.txt файлИзползван като CTF страницаНарушава стандарта RFC 9116
„Rewards up to €500“Няма CVSS, impact критерии, triage процесПълна субективност при оценката
„Staging API/app“Няма доказан ownership / relationResearcher-ът поема юридически риск
„Happy hacking“Без disclosure timelineЛипсва coordinated disclosure процес



  • Това не е bug bounty, а CTF върху staging.
  • CVE-2015-9235 не е JWT уязвимост → hint-ът е технически грешен.
  • Липсва safe harbor → юридически риск за researcher-а.
  • Intentional vulnerability ≠ security finding.
  • security.txt не е място за riddles и path disclosure.
  • Scope не дефинира какво става при design flaw, който засяга production.

В настоящия си вид това не отговаря на дефиницията за bug bounty програма.
По-скоро е CTF със staging scope, без legal safe harbor и с умишлено вградена уязвимост.
Това е напълно окей като learning exercise, но не и като security assurance или bounty програма.
 
CVE-2015-9235 json web token vulnerability и е трибут към Tim McLean. Иди поне отвори доклада от 2015г. Или просто използвай Google. :) https://security.snyk.io/vuln/npm:jsonwebtoken:20150331

Следвай инструкциите в играта и ще разбереш защо е там. ;)

security.txt файла е във формат RFC9116 и е напълно валиден. Изполва се както за CTF, така и за hiring и различни състезания.

Ако имаш мерак да участваш заповядай. Намери реален проблем и получи 500 евра. Чат ботове всеки може да цитира.

Спирам да ти отговарям.

Едит: пропуснах да кажа, че хинта е за да заблуди балъците като теб, които използват ИИ.
 
Последно редактирано:
metaverse каза:
CVE-2015-9235 json web token vulnerability и е трибут към Tim McLean. Иди поне отвори доклада от 2015г. Или просто използвай Google. :) https://security.snyk.io/vuln/npm:jsonwebtoken:20150331

Следвай инструкциите в играта и ще разбереш защо е там. ;)

security.txt файла е във формат RFC9116 и е напълно валиден. Изполва се както за CTF, така и за hiring и различни състезания.

Ако имаш мерак да участваш заповядай. Намери реален проблем и получи 500 евра. Чат ботове всеки може да цитира.

Спирам да ти отговарям.

Едит: пропуснах да кажа, че хинта е за да заблуди балъците като теб, които използват ИИ.
Увеличете...
егото... егото ти пречи в живота , не приемаш критики и сайта ти никога няма да получи клас А ... айде със здраве , и понеже балъците като мен се занимават не с WP хостинги за 15 евро на година , за това ще има да ме гониш със скоростта на светлината и пак няма да ме стигнеш
 
Генерирано задание върху генерирана платформа, като всяка забележка неминуемо ще бъде мината през генератор, и на всичкото отгоре се очаква без пари да чета тия генерирани шитни, ама да не ползвам никакви генератори...

Бегайте оттука.
 
Днес всичко е генерирано. Свиквай.

Не се търсят забележки. Извади пощите на 100-те акаунта в стейдж-а и покажи как си го направил. :) Останалото е дъра-бъра.
 
Ето ги:
SQL: 
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]

Айде.
 
contra каза:
Генерирано задание върху генерирана платформа, като всяка забележка неминуемо ще бъде мината през генератор, и на всичкото отгоре се очаква без пари да чета тия генерирани шитни, ама да не ползвам никакви генератори...

Бегайте оттука.
Увеличете...

Всеки AI код е пробит, дори от експерти такъв съм виждал и пак има някакви дупки, най-добре да се залага на качествен програмист ако е за бизнес, да може да се направи както трябва, по-добре да плати човек една сума на програмист и после един човек към pentest и vul, да се спи спокойно.
 
contra каза:
Не знаем. Метата зачезна.
Увеличете...
Може да не ти е видял поста ... :rolleyes:

metaverse, успяхте ли да видите поста на г-н Контра отпреди 3 дни, който най-вероятно е оставил един списък с имейли на вашето внимание?
Ако списъкът Ви е харесал, навярно му дължите едни €500...
 
partytime каза:
Може да не ти е видял поста ... :rolleyes:

metaverse, успяхте ли да видите поста на г-н Контра отпреди 3 дни, който най-вероятно е оставил един списък с имейли на вашето внимание?
Ако списъкът Ви е харесал, навярно му дължите едни €500...
Увеличете...

Не съм отговорил, защото е спам и си прави бъзик. :)

Да покаже по процедура как е стигнал до този списък за да го потвърдим. Може направо тук. Ако е вярно всички ще можем да го репродуцираме.

Едит: надявах се поне до waiting list-а да е стигнал ама нЕма. :)
 
Трябва да си влезнал или регистриран, за да отговориш тук.

Горе