Forwarded from Школа программирования и этичного хакинга «Timcore»
#pentest
#waf
WAF на коленях: как громить защиту веб-приложений с минимальными танцами
Вступление — зачем нам этот WAF вообще?
WAF (Web Application Firewall) — как тюремная решётка у веб-приложения. Он фильтрует запросы, блокирует инъекции, XSS и всякую рухлядь, чтобы ты не ломанулся к базе или шеллу. Но, это не значит, что он несокрушим. WAF — это как лабиринт с ловушками, и нам нужно прокрасться, чтобы отжать juicy данные.
Сегодня мы разберём реальные техники обхода трёх популярнейших WAF: ModSecurity, Cloudflare, AWS WAF. Будет много обфускаций, HTTP сплитов и грязных приёмов.
Подробнее: https://timcourse.ru/waf-na-kolenyah-kak-gromit-zashhitu-veb-prilozhenij-s-minimalnymi-tanczami/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#waf
WAF на коленях: как громить защиту веб-приложений с минимальными танцами
Вступление — зачем нам этот WAF вообще?
WAF (Web Application Firewall) — как тюремная решётка у веб-приложения. Он фильтрует запросы, блокирует инъекции, XSS и всякую рухлядь, чтобы ты не ломанулся к базе или шеллу. Но, это не значит, что он несокрушим. WAF — это как лабиринт с ловушками, и нам нужно прокрасться, чтобы отжать juicy данные.
Сегодня мы разберём реальные техники обхода трёх популярнейших WAF: ModSecurity, Cloudflare, AWS WAF. Будет много обфускаций, HTTP сплитов и грязных приёмов.
Подробнее: https://timcourse.ru/waf-na-kolenyah-kak-gromit-zashhitu-veb-prilozhenij-s-minimalnymi-tanczami/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Авторские курсы Михаила Тарасова
WAF на коленях: как громить защиту веб-приложений с минимальными танцами — Авторские курсы Михаила Тарасова
WAF (Web Application Firewall) — как тюремная решётка у веб-приложения. Он фильтрует запросы, блокирует инъекции, XSS и всякую рухлядь, чтобы ты не ломанулся к базе или шеллу. Но, это не значит, что он несокрушим. WAF — это как лабиринт с ловушками, и нам…
#exploit
#xxe
#waf
XXE 2025: Атаки через SVG/PDF и война с WAF
🔥 XXE Evolution: Почему SVG и PDF?
Современные WAF научились детектить классические XML-инъекции. Новые векторы:
- SVG: Все считают картинки безопасными, но парсеры librsvg до сих пор обрабатывают ENTITY
- PDF/XMP: Метаданные в PDF (XMP стандарт) парсятся как XML, даже если основной контент бинарный
Подробнее: https://timrobot.ru/xxe-2025-ataki-cherez-svg-pdf-i-vojna-s-waf/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#xxe
#waf
XXE 2025: Атаки через SVG/PDF и война с WAF
🔥 XXE Evolution: Почему SVG и PDF?
Современные WAF научились детектить классические XML-инъекции. Новые векторы:
- SVG: Все считают картинки безопасными, но парсеры librsvg до сих пор обрабатывают ENTITY
- PDF/XMP: Метаданные в PDF (XMP стандарт) парсятся как XML, даже если основной контент бинарный
Подробнее: https://timrobot.ru/xxe-2025-ataki-cherez-svg-pdf-i-vojna-s-waf/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Разработка роботов и эксплойтов
XXE 2025: Атаки через SVG/PDF и война с WAF - Разработка роботов и эксплойтов
Современные WAF научились детектить классические XML-инъекции.