Я разбираю реальные веб‑уязвимости и показываю, как их искать, эксплуатировать в безопасной среде и закрывать в проде. Без воды: чек‑листы атак, редкие кейсы, ошибки разработчиков и практики защиты от CSRF, XXE, Prototype Pollution, десериализации, race conditions, XSS и не только. Если вы пишете веб или проверяете его на прочность — вам сюда.
Некоторое время назад проходил CTFZone Quals 2024
Данный CTF является одним из топовых в мире по рейтингу, и в этом году мне удалось стать одним из разработчиков тасок в нём.
Мной были написаны два таска в категории web, средних по сложности. По отзывам наблюдателей, получились очень даже симпатичными.
В этом посте публикую райтап на них - можете посмотреть, как это было.
(Фото - внешний вид одного из заданий)
#ctf #writeup #web #race #ssti
Райтапы по бинарной эксплуатации в PicoCTF — на английском, разной сложности, с подробным разбором атак. Ссылка на Notion в посте.
Разбор CSRF: почему обходится SOP, ограничения отправки форм, особенности SameSite и базовые методы защиты (token, SameSite, Referrer).
Короткие личные впечатления от инфобезного фестиваля OffZone 2024: стенды, CTF, локпикинг, комьюнити, мерч и встречи с коллегами.
Дискуссия