Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Любой взлом начинается со сбора информации о цели. Чем быстрее и качественнее ты соберешь информацию — тем больше шанс найти крутую багу, зарепортить ее первым и получить вознаграждение. В отличие от пентеста, в багбаунти участвуют сотни тысяч людей одновременно, а сервисы, которые у всех на виду, вдоль и поперек исследованы, и обнаружить там что‑нибудь крайне сложно. В этой статье я расскажу об инструментах, которые помогут тебе провести разведку и собрать максимально много информации о цели.
Каждый поддомен — это потенциальная цель, так что их поиск — один из первых шагов при разведке. В больших компаниях, вроде IBM или Microsoft, используются десятки тысяч поддоменов, и все их нужно поддерживать в актуальном состоянии, своевременно ставить обновления софта и фиксить баги. Как показывает практика, о некоторых поддоменах просто забывают или ставят заглушки, хотя весь контент при этом остается доступен. Критические уязвимости, вроде RCE, SSTI, SSRF или XXE, чаще всего обнаруживают на поддоменах. Чем больше ты их найдешь, тем шире будет поверхность атаки. Существует очень много инструментов для их поиска, поэтому я рассмотрю только те, которые прошли проверку в боевых условиях и показали себя эффективными на разных программах bug bounty.
Chaos
Сайт проекта
info
Сейчас проект недоступен для широкой публики, но, если ты готов подождать, подай заявку. Владельцы высылают инвайты всем желающим каждые две недели по понедельникам.
Начнем с варианта для ленивых. Утилита Chaos собирает информацию обо всех публичных программах, находящихся на известных багбаунти‑платформах, вроде Bugcrowd, HackerOne, Intigrity.
Chaos
На момент написания статьи на сайте есть 513 программ. Информация постоянно обновляется, так что ты всегда будешь видеть актуальную.
www
Если любишь работать с консолью, то у Chaos есть удобный клиент.
Поиск и сортировка по программам реализованы очень удобно. Например, можно посмотреть только те программы, которые предлагают вознаграждение за найденные уязвимости или имеют много поддоменов, или отследить новые программы, чтобы успеть зайти первым и снять вишенку с торта. В отличие от большинства сайтов, связанных с разведкой, он бесплатный.
chaos -d uber.com -silent
restaurants.uber.com
testcdn.uber.com
approvalservice.uber.com
zoom-logs.uber.com
eastwood.uber.com
meh.uber.com
webview.uber.com
kiosk-api.uber.com
…
recon.dev
Сайт проекта
Еще один сайт, который поможет собрать много полезной информации о поддоменах. В отличие от Chaos, бесплатно recon.dev показывает только первые 20 результатов поиска. За остальные придется заплатить, однако цена за полученный набор данных небольшая.
recon.devsubfinder
Скачать с GitHub
Subfinder считается потомком sublist3r — утилита тоже собирает информацию о поддоменах, используя множество пассивных онлайновых источников, таких как Baidu, Bing, Censys. Для некоторых источников потребуется внести ключи от API в файл конфигурации ($HOME/.config/subfinder/config.yaml
).
Subfinder имеет удобную модульную архитектуру и написан на Go, так что очень быстро работает.
Subfinder
Перед тем как начинать разведку, стоит запастись пачкой добротных словарей. От выбора хорошего словаря зависит многое: чем больше будет собрано скрытых параметров, поддоменов, директорий и файлов, тем выше шанс обнаружить какую‑нибудь брешь в безопасности.
В интернете можно найти огромное количество словарей, но не все они эффективны. Занимаясь некоторое время багбаунти и попробовав при этом разные словари, я для себя выделил несколько очень интересных вариантов, которые не раз меня выручали и помогали обнаружить места, до которых еще не доходили другие охотники за багами.
fuzz.txt
Скачать с GitHub
Я всегда начинаю с fuzz.txt, который содержит список потенциально опасных файлов и директорий. Словарь практически каждый месяц дополняется новыми словами. Проходится быстро, а за счет этого можно скорее начать ковырять находки и параллельно поставить перебирать другие, более объемные списки. Словарь содержит 4842 слова, но, по опыту, именно он отлично подходит для первоначального исследования веб‑приложения.
Источник: xakep.ru