• XSS.stack #1 – первый литературный журнал от юзеров форума

У кого есть статьи или информация на счет аудита безопасности телеграм ботов

Отслеживать
Кстати тоже интересно узнать. Из единственного что лично я находил -- накрутка бесконечного баланса у Angel Drainer в боте для покупки доменов и хостинга.
Думаю всё зависит от того как бот написан, там ведь шаблонов нет (если не брать условный bot-t.com)
 
FLOKI сказал(а):
Кстати тоже интересно узнать. Из единственного что лично я находил -- накрутка бесконечного баланса у Angel Drainer в боте для покупки доменов и хостинга.
Думаю всё зависит от того как бот написан, там ведь шаблонов нет (если не брать условный bot-t.com)
Я только знаю что можно просмотреть call_back_data какой либо кнопки, например есть кнопка узнать что то но без подписки она не будет работать, но можно просмотреть эту дату и что она в себе хранит. Насколько знаю есть еще SQL уязвимости, например бот отображает твой никнейм и заносит его в бд и если нету фильтров ты можешь поставить себе никнейм с запросом в sql который например удалит всю бд и т.д. Есть и xss уязвимости но что то более конкретного я так и не нашел
 
Я тоже много лет ищу периодически - статей на эту тему почти нету.
Это сложно, это всегда blackbox - ты ничего не знаешь о внутренней структуре кода, что там происходит на сервере. Смежная тема которую можно почитать - "python blackbox pentest"
В каждом боте все очень очень индивидуально, 99% ботов написаны на python, сам по себе язык безопасный.
-Возможные уязвимости зависят от функционала бота, например если в боте запрашиваются данные из бд - можно попробовать sqli.
-Можно попробовать в тупую вставлять во все поля и инпуты реверс шеллы на питоне, в разных кодировках, в надежде что где то в коде на бэкенде ошибка и прилетит коннект (очень врятли)
-всякие race condition https://kaimi.io/2024/08/exploit-race-condition-in-telegram-mini-apps/

Небольшой кейс: лет 5 назад у меня получилось взломать бот для отрисовки фейк чеков (принадлежал какой то школо-скам-тиме). Там была функция отрисовки pdf чеков тинькова, я отрисовал один чек и скачал, в строке метаданных pdf "Производитель PDF:" была старая уязвимая версия mPDF < 6, и там была вулна lfi например на /etc/passwd (содержимое вставлялось прямо в pdf). Дальше уже легко было получить доступ т.к на этом боте еще куча всего хостилось, вся инфраструктуры "тимы", все остальные боты, фейки сайтов и т.д
Вот настолько все индивидуально. Чем больше у бота функций, особенно типа исполнения каких то команд - тем больше поверхность атаки
 
dunkel сказал(а):
Я тоже много лет ищу периодически - статей на эту тему почти нету.
Это сложно, это всегда blackbox - ты ничего не знаешь о внутренней структуре кода, что там происходит на сервере. Смежная тема которую можно почитать - "python blackbox pentest"
В каждом боте все очень очень индивидуально, 99% ботов написаны на python, сам по себе язык безопасный.
-Возможные уязвимости зависят от функционала бота, например если в боте запрашиваются данные из бд - можно попробовать sqli.
-Можно попробовать в тупую вставлять во все поля и инпуты реверс шеллы на питоне, в разных кодировках, в надежде что где то в коде на бэкенде ошибка и прилетит коннект (очень врятли)
-всякие race condition https://kaimi.io/2024/08/exploit-race-condition-in-telegram-mini-apps/

Небольшой кейс: лет 5 назад у меня получилось взломать бот для отрисовки фейк чеков (принадлежал какой то школо-скам-тиме). Там была функция отрисовки pdf чеков тинькова, я отрисовал один чек и скачал, в строке метаданных pdf "Производитель PDF:" была старая уязвимая версия mPDF < 6, и там была вулна lfi например на /etc/passwd (содержимое вставлялось прямо в pdf). Дальше уже легко было получить доступ т.к на этом боте еще куча всего хостилось, вся инфраструктуры "тимы", все остальные боты, фейки сайтов и т.д
Вот настолько все индивидуально. Чем больше у бота функций, особенно типа исполнения каких то команд - тем больше поверхность атаки
Да согласен все очень индивидуально, но сейчас почти 70% кода это вайб-код который даже не стараются защищать так или иначе. Они создают таких ботов зная что исходный код никто не посмотрит и ничего никто не сделает, что уже дает большой шанс найти таких ботов + недавние кейсы связанные с политикой и анонимными телеграм ботами, где чат открывался по переменно юзер айди, осталось только перебрать юзер айди и прочитать все сообщения того или иного пользователя
 
BERX сказал(а):
Да согласен все очень индивидуально, но сейчас почти 70% кода это вайб-код который даже не стараются защищать так или иначе. Они создают таких ботов зная что исходный код никто не посмотрит и ничего никто не сделает, что уже дает большой шанс найти таких ботов + недавние кейсы связанные с политикой и анонимными телеграм ботами, где чат открывался по переменно юзер айди, осталось только перебрать юзер айди и прочитать все сообщения того или иного пользователя
Кстати насчет вайб-кодинга и небезопасности llm кода вы ошибаетесь, модели по сути умнее джунов и за счет огромной эрудиции генерируют более безопасный код, чем если бы живая макака сама его написала.
 
dunkel сказал(а):
Кстати насчет вайб-кодинга и небезопасности llm кода вы ошибаетесь, модели по сути умнее джунов и за счет огромной эрудиции генерируют более безопасный код, чем если бы живая макака сама его написала.
ну если взять недавний случай, когда челик хвастался у себя в твиттере что написал свой продукт с помощью ии, абсолютно ничего не понимая в программировании. Его продукт сначала положили(там был какой то сайт), потом взломали, и в конце концов владелец просто закрыл сайт)
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх