Раскрытие полного номера телефона пользователя Яндекс ID

Хочу рассказать вам о баге, который я недавно зарепортил в Яндекс

Если у пользователя была включена двухфакторная аутентификация на вход в аккаунт, сразу после ввода корректного логина и пароля, кидался запрос на получение способов подтверждения входа

Во всех JSON атрибутах ответа, номер телефона пользователя возвращался в скрытом виде. Большая часть номера была скрыта звёздочками. В браузере в этот момент также отображалась лишь часть номера, на который поступит смс с кодом подтверждения

Но атрибут phone_number в том же самом ответе раскрывал полный номер телефона пользователя (без звёздочек или каких-либо других ограничений)

Отправил информацию о своей находке в Яндекс в рамках ББ программы и получил вознаграждение

Искал медь, а нашёл золотоРешил проверить наличие защиты от перебора кода при восстановлении доступа к аккаунту. Код восстановления состоял из 4 символов. Взял фаззер, по умолчанию выставил 50 одновременных потоков, запустил перебор и не обнаружил никаких rate limit'еров. Время жизни кода было небольшим - всего 60 секунд, а ответ от сервера занимал несколько секунд. При таких условиях времени перебрать все возможные варианты попросту не хватило бы

Выставил 1000 потоков и... забил все доступные слоты для подключения к БД ?
В результате сервер в теле ответа вернул детали ошибки. В одной из строчек присутствовал пароль от БД в открытом виде ?

И такое бывает ?

? Уважаемые подписчики!

? Хочу поделиться с вами своим собственным Open Source решением для генерации CSRF PoC под названием CSRFShark!

✨ Изначально я задумывал его для своих личных нужд, но понял, что он может быть полезен и другим исследователям в области информационной безопасности. Поэтому было принято решение опубликовать код инструмента на GitHub. CSRFShark полностью бесплатный, распространяется по лицензии MIT.

? Что делает этот инструмент особенным? Его отличительной особенностью является возможность генерации постоянной ссылки на результат. Это означает, что вы можете просто указать ссылку в своем отчете, а команда безопасности сможет легко и быстро проверить работоспособность PoC. Удобство в действии! ?

? Ах да, чуть не забыл. Все необходимые данные передаются в хэше URL, а следовательно, сервер не знает никаких подробностей о вашем запросе.

? Надеюсь, CSRFShark сможет стать незаменимым помощником для ваших исследований в сфере веб безопасности!

✉️ Если у вас есть какие-либо вопросы или предложения, не стесняйтесь обращаться ко мне. Актуальный контакт для связи всегда можно найти в GitHub репозитории.

? Ссылки:
? https://csrfshark.github.io/
? https://github.com/csrfshark/app/

Если есть подозрение, что данные из формы отправляются администратору сайта в телеграм через Bot API, можно провести простую проверку, отправив ссылку на логгер

Если после отправки формы, на URL логгера постучится клиент с заголовком User\-Agent равным TelegramBot (like TwitterBot), то данные действительно приходят в тг

На прикрепленном видео демонстрируется простая форма регистрации, после отправки которой данные приходят администратору в виде телеграм сообщения. В инпут Last Name багхантер передаёт специальный URL, при посещении которого в журнальный файл записываются данные о клиенте. После отправки данных из формы, телеграм подхватывает ссылку и переходит по ней для генерации превью

Следует помнить, что этот способ не сработает в случае, если в методе sendMessage параметр disable_web_page_preview равен true. Однако, по умолчанию, этот параметр равен false

У атакуемого сайта есть бот, который позволяет войти в аккаунт, поделившись своим номером телефона?Если эта функция реализована через request_contact, который автоматически отправляет ваш номер в виде контакта, можно попробовать отправить чужой контакт, тем самым войдя под аккаунтом другого пользователя. Демонстрация этой уязвимости на примере реального бота - на видео

LFI to RCE. Разбираемся с отравлением PHP сессий

Telegraph

LFI to RCE. Session poisoning

Всем привет. В этой статье я хочу рассказать о том, как использование содержимого сессии при наличии LFI может привести к RCE уязвимости. Главная цель, которой я придерживался - сделать этот гайд максимально полным В нем указаны пути к хранилищу сессий для…

Уважаемые подписчики!

Вот и подошёл к концу 2022 год. Хочу выразить огромную благодарность за тот вклад, который каждый из вас внёс в развитие канала

В Новом году хочу пожелать крепкого здоровья, необычных уязвимостей, а также крупных выплат. Пусть все ваши мечты сбудутся, а неудачи обойдут стороной

?С новым, 2023 годом!

Ищете больше RU Bug Bounty программ?
Вбиваем в гугл запрос: "Bug Bounty" site:ru
И из поисковой выдачи получаем список сайтов, у которых есть Bug Bounty:

https://www.jivo.ru/bugbounty/
https://www.cloud4y.ru/cloud-services/bugbounty/
https://bugbounty.webinar.ru/
https://kontur.ru/bugbounty
https://ru.liveagent.com/programma-bag-baunti/
https://corp.mamba.ru/ru/developer/security
https://love.ru/bugbounty/

Из всех вышеперечисленных ресурсов я принимал участие только в ББ от Контура. Выплачивают исправно ?

Остальные программы из списка не проверял

Скриншот с наглядным сравнением - сверху текст до применения настроек, снизу - после

На мой взгляд, вариант "после" выглядит намного приятнее