server-side request forgery
-
Статья SSRF уязвимость: поиск, эксплуатация и цепочки атак в пентесте
На одном из пентестов API финтех-стартапа мы нашли параметр callback_url в эндпоинте вебхуков. Подставили адрес Burp Collaborator - через секунду пришёл DNS-запрос с внутреннего IP. Ещё через двадцать минут у нас были временные IAM-креды от AWS через обращение к 169.254.169.254. Вся цепочка от...- Сергей Попов
- Тема
- blind ssrf обнаружение server-side request forgery ssrf обход защиты ssrf пентест ssrf уязвимость ssrf цепочка атак эксплуатация ssrf
- Ответы: 0
- Раздел: Этичный хакинг и тестирование на проникновение
-
Статья SSRF (Server-Side Request Forgery) в 2026: Эксплуатация и обход фильтров в современных API
SSRF: от удобной интеграции до дырки в облако С SSRF обычно знакомятся не по учебнику, а по какому-нибудь на вид безобидному куску API. Нужно, скажем, чтобы сервис сам подтянул картинку по image_url, сходил за документом по file_url, проверил webhook, собрал превью ссылки, отрендерил PDF из HTML...- Luxkerr
- Тема
- dns rebinding imdsv2 server-side request forgery ssrf ssrf 2026 ssrf в api url parsing inconsistencies обход ssrf фильтров
- Ответы: 0
- Раздел: Анализ уязвимостей и исследования