Осень 2024: SSRF на Bug Bounty: взгляд изнутри, Егор Зонов
Доклад с большой сходки SPbCTF в офисе Яндекса
Егор из Яндекса рассказал про баги класса Server-Side Request Forgery и их сдачу в баг-баунти Яндекса. В докладе — как работает SSRF и какой импакт с помощью него можно получить, как защищаются от таких уязвимостей и как их сдают на баг-баунти. В конце Егор анонсировал деплой сервиса SSRF Sheriff внутри сети Яндекса, который помогает валидировать, SSRF ли вы нашли.
Презентация →
0:00 Как работает SSRF
3:00 Что можно дёрнуть
10:11 SSRF в Яндексе
15:43 Как предотвращать
20:58 Тулза для валидации SSRF
26:55 Вопросы
4 weeks ago 00:01:30 1
4 weeks ago 00:00:59 1
4 weeks ago 00:03:22 1
4 weeks ago 00:49:42 1
4 weeks ago 00:26:54 1
4 weeks ago 00:00:20 25
4 weeks ago 00:17:07 1
4 weeks ago 00:01:35 1
4 weeks ago 00:32:18 1
4 weeks ago 00:01:02 2
4 weeks ago 00:00:43 23
4 weeks ago 00:00:12 101
4 weeks ago 01:32:08 4
4 weeks ago 00:03:35 1
4 weeks ago 00:15:48 1
4 weeks ago 00:00:12 1
4 weeks ago 00:50:18 1
4 weeks ago 00:03:59 4
4 weeks ago 00:00:12 587
4 weeks ago 00:00:37 63
4 weeks ago 00:55:27 2
4 weeks ago 01:01:18 1
4 weeks ago 00:59:26 54
4 weeks ago 00:01:40 2
