Осень 2024: SSRF на Bug Bounty: взгляд изнутри, Егор Зонов
Доклад с большой сходки SPbCTF в офисе Яндекса
Егор из Яндекса рассказал про баги класса Server-Side Request Forgery и их сдачу в баг-баунти Яндекса. В докладе — как работает SSRF и какой импакт с помощью него можно получить, как защищаются от таких уязвимостей и как их сдают на баг-баунти. В конце Егор анонсировал деплой сервиса SSRF Sheriff внутри сети Яндекса, который помогает валидировать, SSRF ли вы нашли.
Презентация →
0:00 Как работает SSRF
3:00 Что можно дёрнуть
10:11 SSRF в Яндексе
15:43 Как предотвращать
20:58 Тулза для валидации SSRF
26:55 Вопросы
1 year ago 00:25:47 804.3K
3 months ago 00:48:32 3.5K
1 year ago 00:28:20 899.9K
4 months ago 01:16:15 1.9K
4 months ago 00:23:39 16.1K
1 year ago 00:01:55 5.3K
3 months ago 01:09:57 745
2 months ago 00:20:03 567
3 months ago 00:15:05 1.4K
1 year ago 00:22:48 761.8K
6 months ago 00:03:20 443
4 months ago 00:00:09 8.1K
4 months ago 00:00:33 2.1K
3 months ago 00:01:27 460
2 months ago 00:25:50 4.2K
1 year ago 00:22:57 784.3K
3 months ago 00:24:29 6.9K
3 months ago 00:03:09 544
3 months ago 01:05:42 49
3 months ago 00:37:16 7.1K
3 months ago 00:37:46 239
2 months ago 00:52:32 935
10 months ago 00:14:43 102
12 months ago 01:10:23 3K
