Вы тестируете GraphQL API и находите, что оно поддерживает __schema introspection. Вы видите тип User, в котором есть поле passwordHash, хотя в публичной документации оно не указано.
Попробовав запрос, вы получаете данные (см. на картинке).
Что это за проблема
#междусобойчик
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3🌚3💯2
🕳 SSRF через SVG-upload
Приложение принимает только аватарки в формате .svg. Фильтр проверяет расширение и MIME, но не валидирует содержимое. Аватарки доступны по
❓ Как можно использовать это, чтобы:
— Сделать SSRF-запрос к http://localhost:8080/admin
— Достать данные с AWS Metadata API
👉 Варианты ответов на картинке, голосуйте реакцией ✅
🐸 Библиотека хакера
#междусобойчик
Приложение принимает только аватарки в формате .svg. Фильтр проверяет расширение и MIME, но не валидирует содержимое. Аватарки доступны по
/uploads/<user>.svg.— Сделать SSRF-запрос к http://localhost:8080/admin
— Достать данные с AWS Metadata API
#междусобойчик
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6🤔6🔥5🌚3
Сервис шлёт письма для сброса пароля. В коде ссылка формируется так:
const url = `${req.protocol}://${req.headers.host}/reset/${token}`;
Заголовок Host берётся из запроса и не проверяется — в письме может оказаться чужой домен.
Какая это уязвимость
#междусобойчик
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4🤔1💯1
Сервис принимает XML без отключения внешних сущностей.
Какой основной риск? Голосуйте реакцией
🔥 — Только DoS через «Billion Laughs»
👾 — Утечка локальных файлов / SSRF
❤️ — Ошибка схемы и падение парсера
#междусобойчик
Please open Telegram to view this post
VIEW IN TELEGRAM
👾20❤2🔥1