Осень 2024: SSRF на Bug Bounty: взгляд изнутри, Егор Зонов
Доклад с большой сходки SPbCTF в офисе Яндекса
Егор из Яндекса рассказал про баги класса Server-Side Request Forgery и их сдачу в баг-баунти Яндекса. В докладе — как работает SSRF и какой импакт с помощью него можно получить, как защищаются от таких уязвимостей и как их сдают на баг-баунти. В конце Егор анонсировал деплой сервиса SSRF Sheriff внутри сети Яндекса, который помогает валидировать, SSRF ли вы нашли.
Презентация →
0:00 Как работает SSRF
3:00 Что можно дёрнуть
10:11 SSRF в Яндексе
15:43 Как предотвращать
20:58 Тулза для валидации SSRF
26:55 Вопросы
2 weeks ago 00:01:02 1
4 weeks ago 00:06:07 1
4 weeks ago 02:16:53 14
4 weeks ago 00:15:44 1
4 weeks ago 00:05:05 1
4 weeks ago 00:03:59 1
4 weeks ago 00:19:01 1
4 weeks ago 04:46:01 1
4 weeks ago 00:12:03 1
4 weeks ago 00:02:57 3
4 weeks ago 00:03:38 1
4 weeks ago 00:04:10 1
4 weeks ago 00:13:20 1
4 weeks ago 01:00:40 1
4 weeks ago 00:03:22 1
4 weeks ago 00:21:28 1
4 weeks ago 00:14:37 1
4 weeks ago 00:01:45 1
4 weeks ago 01:22:29 1
4 weeks ago 00:03:25 1
4 weeks ago 02:24:25 1
![[strm] Алексей Корягин](https://sun9-21.userapi.com/LJPCP2L-uAKVYpCq4rbWNTAavNLpjzNPPUF3-Q/XKNuNZxT0SM.jpg)
4 weeks ago 00:04:01 1
4 weeks ago 01:17:42 7
4 weeks ago 00:03:56 1
