Hunt Or Be Hunted

Читать в Telegram

Mindmap к атаке SSTI

Hunt Or Be Hunted @hun7_0r_b3_hun73d

Я исследую веб‑безопасность и делюсь практическими разбориками уязвимостей: от CSRF и XXE до Server‑Side XSS, race conditions и обходов CSP. Пишу чек‑листы атак и защиты, редкие кейсы из практики и мысли о мышлении пентестера. Только прикладной AppSec, понятные примеры и то, что реально встречается в проде. Учимся охотиться, пока на нас не охотятся.

Открыть в Telegram Другие публикации

Автор:Hunt Or Be Hunted

•21 августа 2024 г.

sstimindmapweb

Вот ещё красивый mindmap к этой атаке

#mindmap #web #vuln #ssti

Mindmap на тёмном фоне, схема Server‑Side Template Injection (SSTI): этапы атаки, векторы и ключевые узлы с маркерами. — Mindmap атаки SSTI

Читайте так же

Cheatsheet по SQL Injection

25 июл. 2024 г.·sqli

Cheatsheet по SQL Injection

Короткая рекомендация на cheatsheet по SQLi (tib3rius) с примерами payload'ов для популярных СУБД — полезно для AppSec.

Читать публикацию

16 февр. 2025 г.·csrf

Cross-site request forgery (CSRF)

Разбор CSRF: что это, три ключевых условия эксплуатации (релевантное действие, авторизация через cookie, непредсказуемые параметры) и пример формы.

Читать публикацию

Race conditions — состояние гонки

11 авг. 2024 г.·race conditions

Race conditions — состояние гонки

Краткий разбор race conditions: типы (включая HTTP/2), влияние (вплоть до RCE) и практики защиты; пример уязвимого кода и пояснение MFA-рокировки.

Читать публикацию