Confermato un altro report dopo alcune settimane di attesa. Out of band SQL injection con exfil di data via DNS lookups, una delle mie tecniche preferite anche se trovare questo tipo di vulnerabilita’ puo’ richiedere molto, molto tempo. Reward: $12K
E’ molto interessante, dovresti aprirti forse un thread dedicato con qualche informazione in più sul bounty specifico
Altrimenti resta solo una lista della spesa
come cazz
io ricordo quando studiavo sqli e impazzivo già solo per capire se era vulnerabile o no, con l’output a schermo figurati via dns
figo figo, come infrastruttura cosa ti serve? dominio con dns server che punta a due righe di python che loggano le richieste? perdona la nabbaggine
Ho aperto alcuni threads con specifiche. Prende tempo per descrivere gli aspetti tecnici assumendo una audience mista
Per questo specifico tipo di cose uso una feature di BurpSuite Professional chiamata Collaborator. In pratica crea un endpoint per me che riporta tutte le richieste http, dns o tcp in generale. E’ ottimo per esperimentare con vulnerabilita’ out of band/blind come blind SQLi ma anche SSRF (server side request forgery) e altre. :)
stamattina ho visto un altro tweet dove sostanzialmente dato che Signal e’ una no profit e’ tutto pubblico, lo stipendio medio di un dev e’ 600k tipo, che ci sta se vuoi (in US) attirare top talenti ma poi vai a vedere cosa hanno rilasciato nell’ultimo anno e la feature piu grossa sono gli username e non e’ manco fatta in modo sicuro
Trovato una IDOR (Insecure Direct Object Reference) che mi permette di vedere informazioni di altri utent, and una BFLA (Broken Function Level Authorization) che mi permette di fare privilege escalation e eseguire alcune funzioni come ruolo piu’ alto.
All’inizio sembrava non possibile fare exploit di queste perche’ l’app usa UUIDs invece di normali ID che possono essere indovinati facilmente, ma poi ho trovato che la funzione di invite fa leak degli UUIDs delle persone che invito, quindi problema risolto.
Cristo santo tu non sai che fatica faccio a convincere “architetti” a spendere un attimo di tempo in più per esporre uuid e non id incrementali o peggio ancora codici facili da desumere (tipo vin per i veicoli). La gente ha la sabbia in testa certe volte. Fai bene a guadagnarli facili sti soldi ma li investissero in sviluppatori e sopratutto architetti meno incapaci dio de dio