ssrf уязвимость
-
Статья SSRF уязвимость: поиск, эксплуатация и цепочки атак в пентесте
На одном из пентестов API финтех-стартапа мы нашли параметр callback_url в эндпоинте вебхуков. Подставили адрес Burp Collaborator - через секунду пришёл DNS-запрос с внутреннего IP. Ещё через двадцать минут у нас были временные IAM-креды от AWS через обращение к 169.254.169.254. Вся цепочка от...- Сергей Попов
- Тема
- blind ssrf обнаружение server-side request forgery ssrf обход защиты ssrf пентест ssrf уязвимость ssrf цепочка атак эксплуатация ssrf
- Ответы: 0
- Раздел: Этичный хакинг и тестирование на проникновение