Я исследую веб‑безопасность и делюсь практическими разбориками уязвимостей: от CSRF и XXE до Server‑Side XSS, race conditions и обходов CSP. Пишу чек‑листы атак и защиты, редкие кейсы из практики и мысли о мышлении пентестера. Только прикладной AppSec, понятные примеры и то, что реально встречается в проде. Учимся охотиться, пока на нас не охотятся.
Некоторое время назад проходил CTFZone Quals 2024
Данный CTF является одним из топовых в мире по рейтингу, и в этом году мне удалось стать одним из разработчиков тасок в нём.
Мной были написаны два таска в категории web, средних по сложности. По отзывам наблюдателей, получились очень даже симпатичными.
В этом посте публикую райтап на них - можете посмотреть, как это было.
(Фото - внешний вид одного из заданий)
#ctf #writeup #web #race #ssti
Краткое объяснение SSTI: что это, пример полезной нагрузки и рекомендации по защите; ссылка на репозиторий PayloadsAllTheThings.
Короткие личные впечатления от инфобезного фестиваля OffZone 2024: стенды, CTF, локпикинг, комьюнити, мерч и встречи с коллегами.
Проект DVSA — CTF-like приложение с 25 уязвимостями (SQLi, SSRF, XXE, Insecure Deserialization и др.) для практики; запуск через docker-compose.
Дискуссия