🔥 Дневник Хакера | Когда WAF — это не стена, а приглашение

5 ноября5 ноя

2 мин

🔥 Дневник Хакера | Когда WAF — это не стена, а приглашение Привет, хакеры! 💻 Сегодня был абсолютно ОГНЕННЫЙ день в баг-баунти! 🚀 Продолжаю копать ту самую программу, о которой писал в прошлый раз (NDA, поэтому без деталей 🤫). Краткое напоминание: Несколько дней назад нашёл серьёзный баг — раскрытие API документации с 995 endpoints. Отправил отчёт, severity оценил как High. Теперь жду ответа (должны ответить в течение 5 рабочих дней). 📊 А сегодня случилось МАГИЯ: ✨ Продолжил копать ту же систему, и… нашёл способ обойти их Web Application Firewall! 🔓💥 Вот как это работало: • Система защищена WAF (серьёзный корпоративный уровень защиты) • Через обычный домен — всё блокируется, как и должно быть • НО! В скоупе программы указаны IP-адреса backend-серверов 👀 • Подключился напрямую к IP с подменой Host заголовка… • И БАМ! 💣 WAF полностью обошёлся, получил доступ к тем же 684 KB API документации! Что это значит: Это уже отдельная уязвимость класса Security Control Bypass! Даже ес

Привет, хакеры! 💻 Сегодня был абсолютно ОГНЕННЫЙ день в баг-баунти! 🚀 Продолжаю копать ту самую программу, о которой писал в прошлый раз (NDA, поэтому без деталей 🤫).

Краткое напоминание:

Несколько дней назад нашёл серьёзный баг — раскрытие API документации с 995 endpoints. Отправил отчёт, severity оценил как High. Теперь жду ответа (должны ответить в течение 5 рабочих дней).

📊

А сегодня случилось МАГИЯ: ✨

Продолжил копать ту же систему, и… нашёл способ обойти их Web Application Firewall! 🔓💥

Вот как это работало:

• Система защищена WAF (серьёзный корпоративный уровень защиты)

• Через обычный домен — всё блокируется, как и должно быть

• НО! В скоупе программы указаны IP-адреса backend-серверов 👀

• Подключился напрямую к IP с подменой Host заголовка…

• И БАМ! 💣 WAF полностью обошёлся, получил доступ к тем же 684 KB API документации!

Что это значит:

Это уже отдельная уязвимость класса Security Control Bypass! Даже если первый баг исправят, обход WAF через прямой доступ к IP — это критичная проблема сама по себе. Атакующий может:

• Игнорировать все правила фильтрации

• Обходить rate limiting

• Избегать обнаружения системами мониторинга

• Проводить атаки напрямую на backend 🎯

Что сделал:

✅ Проверил концепцию (PoC работает на 100%)

✅ Сравнил файлы — идентичные, 684 KB каждый

✅ Задокументировал всё с командами и выводами

✅ Написал детальный отчёт на 4 страницы

✅ Отправил в программу как второй баг

Severity: High (моя оценка 🎯)

Статистика на текущий момент:

📊 Отправлено отчётов: 2

🎯 Средняя severity: High

⏱️ Общее время на оба: ~4 часа работы

💰 Потенциальная выплата: если оба примут как High — это будет очень хорошо 😎

Уроки сегодняшнего дня:

1️⃣ Всегда проверяй IP-адреса из скоупа — иногда они там не просто так

2️⃣ WAF — это не всегда непробиваемая стена — бывают misconfiguration

3️⃣ Host header может быть твоим другом — если backend не валидирует источник

4️⃣ Один баг может привести к другому — продолжай копать то, что уже нашёл

5️⃣ Терпение и методичность — не бросай таргет после первой находки

Мысли вслух:

Чувствую себя как после хорошей CTF-задачки 😄 Волнуюсь, конечно — второй отчёт может быть посчитан как duplicate первого (хотя это разные уязвимости!). Но я максимально детально описал, почему это отдельная проблема. Если примут оба — будет просто космос! 🌟

А пока жду ответов (по первому должны ответить через пару дней). Время показывает, что методичный подход работает лучше хаотичного сканирования. Знание скоупа + понимание архитектуры = профит! 💎

#дневникхакера #bugbounty #infosec #cybersecurity #pentest #wafbypass #securitybypass #хакинг #безопасность #этичныйхакинг #redteam #bugbountyhunter #highseverity #APIsecurity #securitymisconfiguration