#bug_bounty
#ssrf
#40 Bug Bounty. Server Side Request Forgery (SSRF).
Здравствуйте, дорогие друзья.
Server Side Request Forgery (SSRF) происходит, когда злоумышленник принудительно запускает приложение для выполнения HTTP-запросов от их имени. Ее можно использовать для чтения данных из внутренних приложений. Большинство людей используют эту уязвимость для публикации или считывания данных с конфиденциальных конечных точек, таких как служба метаданных AWS и Gcloud, служба FTP, служба LDAP и локальных файлов.
SSRF
При поиске уязвимостей SSRF я обычно ищу запросы, которые имеют URL как значение параметра. Если ответ отражается обратно злоумышленнику, Вы можете иметь возможную уязвимость SSRF. Затем я изменяю URL-адрес на google.com, и если я увижу ответ, то могу предположить, что конечная точка уязвима. Следующим шагом является поиск уязвимой конечной точки на локальном хосте системы или на конечной точке в локальной сети.
Подробнее: https://timcore.ru/2022/07/09/40-bug-bounty-server-side-request-forgery-ssrf/
#ssrf
#40 Bug Bounty. Server Side Request Forgery (SSRF).
Здравствуйте, дорогие друзья.
Server Side Request Forgery (SSRF) происходит, когда злоумышленник принудительно запускает приложение для выполнения HTTP-запросов от их имени. Ее можно использовать для чтения данных из внутренних приложений. Большинство людей используют эту уязвимость для публикации или считывания данных с конфиденциальных конечных точек, таких как служба метаданных AWS и Gcloud, служба FTP, служба LDAP и локальных файлов.
SSRF
При поиске уязвимостей SSRF я обычно ищу запросы, которые имеют URL как значение параметра. Если ответ отражается обратно злоумышленнику, Вы можете иметь возможную уязвимость SSRF. Затем я изменяю URL-адрес на google.com, и если я увижу ответ, то могу предположить, что конечная точка уязвима. Следующим шагом является поиск уязвимой конечной точки на локальном хосте системы или на конечной точке в локальной сети.
Подробнее: https://timcore.ru/2022/07/09/40-bug-bounty-server-side-request-forgery-ssrf/
Этичный хакинг с Михаилом Тарасовым (Timcore)
#40 Bug Bounty. Server Side Request Forgery (SSRF). - Этичный хакинг с Михаилом Тарасовым (Timcore)
Server Side Request Forgery (SSRF) происходит, когда злоумышленник принудительно запускает приложение для выполнения HTTP-запросов от их имени. Ее можно использовать для чтения данных из внутренних приложений. Большинство людей используют эту уязвимость для…
#news
#ssrf
#cve
SSRF-уязвимость в Ivanti используется для установки бэкдора DSLog
ИБ-эксперты обнаружили, что свежая 0-day уязвимость CVE-2024-21893, затрагивающая решения Ivanti Connect Secure, Policy Secure и шлюзы ZTA, используется для установки нового бэкдора DSLog на уязвимые устройства.
Источник: https://xakep.ru/2024/02/14/ivani-dslog/
#ssrf
#cve
SSRF-уязвимость в Ivanti используется для установки бэкдора DSLog
ИБ-эксперты обнаружили, что свежая 0-day уязвимость CVE-2024-21893, затрагивающая решения Ivanti Connect Secure, Policy Secure и шлюзы ZTA, используется для установки нового бэкдора DSLog на уязвимые устройства.
Источник: https://xakep.ru/2024/02/14/ivani-dslog/
XAKEP
SSRF-уязвимость в Ivanti используется для установки бэкдора DSLog
ИБ-эксперты обнаружили, что свежая 0-day уязвимость CVE-2024-21893, затрагивающая решения Ivanti Connect Secure, Policy Secure и шлюзы ZTA, используется для установки нового бэкдора DSLog на уязвимые устройства.
Forwarded from Школа программирования и этичного хакинга «Timcore»
#bug_bounty
#ssrf
SSRF на внутренних банковских апи: как слить бабки через curl
Что вижу:
Банковский API с /v1/transaction, который принимает callback_url. В ответе — статус 200, но в теле Internal Server Error, когда кидаешь http://localhost. Пахнет SSRF-ом, как залежалый макчак в подвале.
Подробнее: https://timcourse.ru/ssrf-na-vnutrennih-bankovskih-api-kak-slit-babki-cherez-curl/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#ssrf
SSRF на внутренних банковских апи: как слить бабки через curl
Что вижу:
Банковский API с /v1/transaction, который принимает callback_url. В ответе — статус 200, но в теле Internal Server Error, когда кидаешь http://localhost. Пахнет SSRF-ом, как залежалый макчак в подвале.
Подробнее: https://timcourse.ru/ssrf-na-vnutrennih-bankovskih-api-kak-slit-babki-cherez-curl/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Авторские курсы Михаила Тарасова
SSRF на внутренних банковских апи: как слить бабки через curl — Авторские курсы Михаила Тарасова
Точка входа Что вижу: Банковский API с /v1/transaction, который принимает callback_url. В ответе — статус 200, но в теле Internal Server Error, когда кидаешь http://localhost. Пахнет SSRF-ом, как залежалый макчак в подвале. Как поймал: — Инструмент: ffuf…
Forwarded from Разработка роботов и эксплойтов. Михаил Тарасов
#ssrf
#exploit
#python
SSRF в Облачных Сервисах: Взлом Внутренних Ресурсов AWS и GCP
Эй, хакер! Если ты здесь, значит, ты готов нырнуть в мир Server-Side Request Forgery (SSRF) — той уязвимости, которая превращает сервер в твоего личного прокси для атаки на внутренние сети. Я — твой гид по эксплойтам, и сегодня мы разберём, как использовать SSRF в облаках AWS и GCP, чтобы добраться до сочных метаданных. Мы поговорим о чтении внутренних данных через уязвимые эндпоинты и о том, как обходить фильтры с помощью крутых протоколов вроде Gopher и Dict. Всё с примерами кода, шагами и лайфхаками — без воды, только чистый хардкор. Готов? Поехали!
Подробнее: https://timrobot.ru/ssrf-v-oblachnyh-servisah-vzlom-vnutrennih-resursov-aws-i-gcp/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#exploit
#python
SSRF в Облачных Сервисах: Взлом Внутренних Ресурсов AWS и GCP
Эй, хакер! Если ты здесь, значит, ты готов нырнуть в мир Server-Side Request Forgery (SSRF) — той уязвимости, которая превращает сервер в твоего личного прокси для атаки на внутренние сети. Я — твой гид по эксплойтам, и сегодня мы разберём, как использовать SSRF в облаках AWS и GCP, чтобы добраться до сочных метаданных. Мы поговорим о чтении внутренних данных через уязвимые эндпоинты и о том, как обходить фильтры с помощью крутых протоколов вроде Gopher и Dict. Всё с примерами кода, шагами и лайфхаками — без воды, только чистый хардкор. Готов? Поехали!
Подробнее: https://timrobot.ru/ssrf-v-oblachnyh-servisah-vzlom-vnutrennih-resursov-aws-i-gcp/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Разработка роботов и эксплойтов
SSRF в Облачных Сервисах: Взлом Внутренних Ресурсов AWS и GCP - Разработка роботов и эксплойтов
Эй, хакер! Если ты здесь, значит, ты готов нырнуть в мир Server-Side Request Forgery (SSRF) — той уязвимости, которая превращает сервер в твоего личного прокси для атаки на внутренние сети. Я — твой гид по эксплойтам, и сегодня мы разберём, как использовать…
⚡ SSRF → RCE: chain-атака на реальной цели
Привет, хакеры! 💻 Сегодня расскажу про мой любимый тип атак — chains (цепочки). Когда одна уязвимость сама по себе не критична, но в комбинации с другой превращается в полный pwn сервера.
https://vk.com/@hacker_timcore-ssrf-rce-chain-ataka-na-realnoi-celi
#дневникхакера #ssrf #rce #bugbounty #chainattack #aws #pentest #websecurity #ethicalhacking #redteam #exploit #cybersecurity #infosec #criticalvuln
Привет, хакеры! 💻 Сегодня расскажу про мой любимый тип атак — chains (цепочки). Когда одна уязвимость сама по себе не критична, но в комбинации с другой превращается в полный pwn сервера.
https://vk.com/@hacker_timcore-ssrf-rce-chain-ataka-na-realnoi-celi
#дневникхакера #ssrf #rce #bugbounty #chainattack #aws #pentest #websecurity #ethicalhacking #redteam #exploit #cybersecurity #infosec #criticalvuln
VK
⚡ SSRF → RCE: chain-атака на реальной цели
Привет, хакеры! 💻 Сегодня расскажу про мой любимый тип атак — chains (цепочки). Когда одна уязвимость сама по себе не критична, но в комб..
#ssrf
#hacking
SSRF на максималках: от чтения /etc/passwd до захвата облака
Здравствуйте, дорогие друзья!
Server-Side Request Forgery — это когда ты заставляешь сервер делать запросы от своего имени. Звучит просто? Да, но именно эта уязвимость позволяет творить настоящую магию: от чтения локальных файлов до полного захвата облачной инфраструктуры.
Подробнее: https://timcore.ru/2025/11/09/ssrf-na-maksimalkah-ot-chtenija-etc-passwd-do-zahvata-oblaka/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#hacking
SSRF на максималках: от чтения /etc/passwd до захвата облака
Здравствуйте, дорогие друзья!
Server-Side Request Forgery — это когда ты заставляешь сервер делать запросы от своего имени. Звучит просто? Да, но именно эта уязвимость позволяет творить настоящую магию: от чтения локальных файлов до полного захвата облачной инфраструктуры.
Подробнее: https://timcore.ru/2025/11/09/ssrf-na-maksimalkah-ot-chtenija-etc-passwd-do-zahvata-oblaka/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Этичный хакинг с Михаилом Тарасовым (Timcore)
SSRF на максималках: от чтения /etc/passwd до захвата облака - Этичный хакинг с Михаилом Тарасовым (Timcore)
Server-Side Request Forgery — это когда ты заставляешь сервер делать запросы от своего имени. Звучит просто? Да, но именно эта уязвимость позволяет творить настоящую магию: от чтения локальных файлов до полного захвата облачной инфраструктуры.