SSRF Validation Bypass Cheat Sheet
Bizarro Abro o twitter enquanto espero o ifood chegar e me dou de cara com a planilha que eu tava procurando 10 minutos atras quando tava testando uma aplicação em bugbounty
https://portswigger.net/web-security/ssrf/url-validation-bypass-cheat-sheet [Photo]
Mubeng Proxy Rotator Tool
Precisa contornar um bloqueio de Ip / rate limiting pra fazer aquele fuzzing / brute force e não quer usar o lambda da AWS pra não gastar grana, nem proxychains que pode ser muito lento e instável?
Quer fazer uma rotação de Ip de graça?
Baixa uma lista de proxies recentes e válidos:
curl -sf ‘https://raw.githubusercontent.com/TheSpeedX/PROXY-List/refs/heads/master/http.txt' | sed ’s#^#http://#g’ > http_proxies.txt
Execute o mubeng (link do repositório pra instalação ao final: mubeng -f http_proxies.txt –remove-on-error -a :8081 -w
SSRF DNS Rebinding Case Study
A imagem mostra quando eu tive acesso à uma instância da AWS de uma empresa através de DNS Rebinding como bypass de um SSRF que possuía algumas proteções. Foi dahora ver na prática isso.
Galera, num artigo anterior, detalhei como a técnica de DNS Rebinding é empregada para explorar vulnerabilidades do tipo TOCTOU (Time-of-Check Time-of-Use), subvertendo validações em cenários de Server-Side Request Forgery (SSRF). Fica o link ao final para consulta.
SSRF Cloudflared Tunnel Setup Guide
Shareando uma trick boba mas útil. Cenário:
- Tu suspeita de SSRF em uma requisição;
- O parâmetro do endpoint exige que tu forneça um domínio válido para receber a requisição;
- Oastify (listener do Burp), etc não é o suficiente. Tu quer devolver uma header específica, tipo um content-type de PDF, precisa ter mais liberdade e não simplesmente receber a request http / dns
- 👉 Tu tem uma VPS, mas não tem um domínio registrado.
Tu pensa: NGROK! O problema é que pra evitar abusos, o Ngrok e outros programas vão te dar essa mensagem (da imagem anexada) se o SSRF simplesmente for chamado pra tua URL final do Ngrok. Ele basicamente tá dizendo: oh, na requisição que tu fizer (client-side), seta essa header aqui pra gente ter certeza que tu não é uma botnet, ou que tá usando pra más intencões ou algo assim.
Burp Screenshot Bambda and Example
Tu usa um programa de edição de imagem para melhorar tuas evidências do Burp no bugbounty ou pentest?
O pesquisador Martin Doyhenard da PortSwigger criou um Bambda p/ isso (sim essa funcionalidade tá muito em alta pela versatilidade que ta trazendo pro software).
Esse Bambda se chama Screenshot e vai aparecer no menu de ações customizadas quando você o importar.
O código é esse: https://github.com/PortSwigger/bambdas/blob/main/CustomAction/Screenshot.bambda
O time da Atta CyberSecurity & Compliance testou e achamos muito dahora!
Race Condition Bambda and DNS Rebinding Case
Babdas para facilitar exploração de race condition usando o Burp Suite, recém publicado pelo albinowax, James Kettle, diretor de pesquisa da PortSwigger
https://gist.github.com/albinowax/101e3b2e605496db1ddf84d14f5d0485 [Photo]
Pra quem nunca teve a oportunidade de explorar um caso real de race condition, eu mostro casos nesse artigo que fiz um tempo atras (dentro do conceito de DNS Rebinding)
O artigo mostra como transformei 1 crédito em 15 (Race condition) e acessei dados internos de um sistema (DNS rebinding) que tinha proteção superficial contra SSRF (Server Side Request Forgery).
FFUF Parallelism vs Rate Control
Tá ligado que a flag -t no ffuf controla workers (paralelismo), não o ritmo das requisições?
Usar “-t 10” é como ter 10 atendentes em uma lanchonete fazendo pedidos ao mesmo tempo. Se o sistema responder rápido (tipo APIs cloud), vira um tsunami: 300+ requests/segundo sem querer, e lá se vai seu bounty ou seu modo stealth.
“Ué, Zero, como ajusto isso sem perder eficiência?” Bota o -rate pra controlar a concorrência! Se o limite é 3 requests/segundo, use -rate 3. É o gerente falando “só 3 pedidos por segundo” pros 10 atendentes.