Сайт использует сервис веб-аналитики Яндекс Метрика с помощью технологии «cookie». Пользуясь сайтом, вы даете согласие на использование данной технологии.

Политика конфиденциальности | Согласие на обработку персональных данных

G
enby!

Осень 2024: SSRF на Bug Bounty: взгляд изнутри, Егор Зонов

Доклад с большой сходки SPbCTF в офисе Яндекса (https://vk.com/spbctf)
Егор из Яндекса рассказал про баги класса Server-Side Request Forgery и их сдачу в баг-баунти Яндекса. В докладе — как работает SSRF и какой импакт с помощью него можно получить, как защищаются от таких уязвимостей и как их сдают на баг-баунти. В конце Егор анонсировал деплой сервиса SSRF Sheriff внутри сети Яндекса, который помогает валидировать, SSRF ли вы нашли. Презентация → https://drive.google.com/file/d/1FDjR...
0:00 Как работает SSRF 3:00 Что можно дёрнуть 10:11 SSRF в Яндексе 15:43 Как предотвращать 20:58 Тулза для валидации SSRF 26:55 Вопросы

Смотрите также


картинка: Осень 2024: Пентест умного цветочного горшка, Елизавета Тишина
картинка: Осень 2024: Bug Bounty от выбора вендора до первого хая, Всеволод Кокорин
картинка: Осень 2024: Как мы переосмыслили таски на Network, Алексей Воздвиженский
картинка: Екатерина Шульман про интервью Аллы Пугачёвой
картинка: Осень 2024: Ревёрсинг в Binary Ninja, Егор Зайцев
картинка: Верификация эксплуатации SSRF уязвимости в защищенных сегментах / Эльдар Бейбутов / VolgaCTF 2021

© 2006 — 2025 «GENBY!»