HACKPROGLIB Telegram 4579
tgoop.com » United States » Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность » Telegram web » Post 4579
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
🕳 SSRF через SVG-upload

Приложение принимает только аватарки в формате .svg. Фильтр проверяет расширение и MIME, но не валидирует содержимое. Аватарки доступны по /uploads/<user>.svg.

Как можно использовать это, чтобы:

— Сделать SSRF-запрос к http://localhost:8080/admin
— Достать данные с AWS Metadata API

👉 Варианты ответов на картинке, голосуйте реакцией

🐸 Библиотека хакера

#междусобойчик
Please open Telegram to view this post
VIEW IN TELEGRAM
6🤔6🔥5🌚3
www.tgoop.com/hackproglib/4579
1.05K views



tgoop.com/hackproglib/4579
Create:
Last Update:

🕳 SSRF через SVG-upload

Приложение принимает только аватарки в формате .svg. Фильтр проверяет расширение и MIME, но не валидирует содержимое. Аватарки доступны по /uploads/<user>.svg.

Как можно использовать это, чтобы:

— Сделать SSRF-запрос к http://localhost:8080/admin
— Достать данные с AWS Metadata API

👉 Варианты ответов на картинке, голосуйте реакцией

🐸 Библиотека хакера

#междусобойчик

BY Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность




Share with your friend now:
tgoop.com/hackproglib/4579

View MORE
Open in Telegram


Telegram News

Date: |

Other crimes that the SUCK Channel incited under Ng’s watch included using corrosive chemicals to make explosives and causing grievous bodily harm with intent. The court also found Ng responsible for calling on people to assist protesters who clashed violently with police at several universities in November 2019. In the next window, choose the type of your channel. If you want your channel to be public, you need to develop a link for it. In the screenshot below, it’s ”/catmarketing.” If your selected link is unavailable, you’ll need to suggest another option. In the “Bear Market Screaming Therapy Group” on Telegram, members are only allowed to post voice notes of themselves screaming. Anything else will result in an instant ban from the group, which currently has about 75 members. According to media reports, the privacy watchdog was considering “blacklisting” some online platforms that have repeatedly posted doxxing information, with sources saying most messages were shared on Telegram. To delete a channel with over 1,000 subscribers, you need to contact user support
from us


🕳 SSRF через SVG-upload

 Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность TG
web: 4579
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность.Telegram web
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность Telegram TG Channel
Telegram Updated:
Telegram Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
FROM American