🙏 Эксплойты: писать самому vs брать готовые

⚡️ Писать самому
— Глубокое понимание уязвимости
— Гибкость под конкретную цель
— Навык, который прокачивает как специалиста
— Минимум «сигнатур», труднее отследить

📎 Минусы: долго, нужен высокий уровень, риск накосячить

⚡️ Брать готовые (Metasploit, GitHub, Exploit-DB)
— Быстро и удобно
— Можно сразу автоматизировать атаки
— Легко обучать новичков
— Экономия времени в реальном пентесте

📎 Минусы: палятся защитой, зависят от чужого кода, ограниченные возможности

➡️ Что важнее — свое мастерство в написании эксплойтов или умение быстро использовать готовые инструменты ❓

🐸 Библиотека хакера

#междусобойчик

😳 Уязвимость в GraphQL API

Вы тестируете GraphQL API и находите, что оно поддерживает __schema introspection. Вы видите тип User, в котором есть поле passwordHash, хотя в публичной документации оно не указано.

Попробовав запрос, вы получаете данные (см. на картинке).

Что это за проблема ❓

🐸 Библиотека хакера

#междусобойчик

🕳 SSRF через SVG-upload

Приложение принимает только аватарки в формате .svg. Фильтр проверяет расширение и MIME, но не валидирует содержимое. Аватарки доступны по /uploads/<user>.svg.

❓ Как можно использовать это, чтобы:

— Сделать SSRF-запрос к http://localhost:8080/admin
— Достать данные с AWS Metadata API

👉 Варианты ответов на картинке, голосуйте реакцией ✅

🐸 Библиотека хакера

#междусобойчик

🔒 Сбой генерации reset-link

Сервис шлёт письма для сброса пароля. В коде ссылка формируется так:

const url = `${req.protocol}://${req.headers.host}/reset/${token}`;

Заголовок Host берётся из запроса и не проверяется — в письме может оказаться чужой домен.

Какая это уязвимость ❓

🐸 Библиотека хакера

#междусобойчик

🔥 XXE в парсере отчетов

Сервис принимает XML без отключения внешних сущностей.

Какой основной риск? Голосуйте реакцией ✅

🔥 — Только DoS через «Billion Laughs»
👾 — Утечка локальных файлов / SSRF
❤️ — Ошибка схемы и падение парсера

🐸 Библиотека хакера

#междусобойчик