В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

WebPwnChat

931 membersпожаловаться на группу
2020 March 10

WS

Web Security in WebPwnChat
Как может быть, что в теле запроса url=https://internal.subdomain.site.com/img.jpg, бэкэнд дёргает контент и на выходе мы получаем картинку, но сам сабдомен не резолвится (для меня URL недоступен)? Так может быть, что только бэкэнд знает DNS-записи internal.subdomain.site.com?
источник
13:00пожаловаться#1

i

igorpyan in WebPwnChat
Да, спокойно, такая запись может быть только в локальном DNS организации
источник
13:02пожаловаться#2

i

igorpyan in WebPwnChat
url параметром передается, правильно понимаю?
источник
13:02пожаловаться#3

WS

Web Security in WebPwnChat
igorpyan
url параметром передается, правильно понимаю?
Ну да, в теле запроса на загрузку картинки, один из этапов upload flow url=https://internal.subdomain.site.com/img.jpg
источник
13:03пожаловаться#4

WS

Web Security in WebPwnChat
Юзер url=... не видит и не вводит, он выгружает картинку со своего компа
источник
13:04пожаловаться#5

BF

Billy Fox in WebPwnChat
Web Security
Как может быть, что в теле запроса url=https://internal.subdomain.site.com/img.jpg, бэкэнд дёргает контент и на выходе мы получаем картинку, но сам сабдомен не резолвится (для меня URL недоступен)? Так может быть, что только бэкэнд знает DNS-записи internal.subdomain.site.com?
Для тебя URL недоступен или сервер? Можно запросто сконфигурировать его так, что любые запросы в корень сайта будут говорить, что порт закрыт, а в директории - нет
источник
13:35пожаловаться#6

%

%20 in WebPwnChat
Billy Fox
Для тебя URL недоступен или сервер? Можно запросто сконфигурировать его так, что любые запросы в корень сайта будут говорить, что порт закрыт, а в директории - нет
не может такого быть
источник
13:35пожаловаться#7

BF

Billy Fox in WebPwnChat
У меня была ситуация, когда Cloudflare выдавал ошибку DNS в корне сайта, но в директориях всё было красиво
источник
13:36пожаловаться#8

%

%20 in WebPwnChat
Web Security
Как может быть, что в теле запроса url=https://internal.subdomain.site.com/img.jpg, бэкэнд дёргает контент и на выходе мы получаем картинку, но сам сабдомен не резолвится (для меня URL недоступен)? Так может быть, что только бэкэнд знает DNS-записи internal.subdomain.site.com?
если правильно понял то да, в /etc/hosts прописывай что хочешь, будет резолвить
источник
13:37пожаловаться#9

WS

Web Security in WebPwnChat
Billy Fox
Для тебя URL недоступен или сервер? Можно запросто сконфигурировать его так, что любые запросы в корень сайта будут говорить, что порт закрыт, а в директории - нет
Для меня недоступен URL (dns вообще не резолвится), указанный в теле запроса, но бэкенд его нормально обрабатывает, так как ссылка ведёт на их внутренний сторэдж.
Ни корень URL, ни директории недоступны мне
источник
13:38пожаловаться#10

BF

Billy Fox in WebPwnChat
Web Security
Для меня недоступен URL (dns вообще не резолвится), указанный в теле запроса, но бэкенд его нормально обрабатывает, так как ссылка ведёт на их внутренний сторэдж.
Ни корень URL, ни директории недоступны мне
Вот это приколы
источник
13:38пожаловаться#11

%

%20 in WebPwnChat
Billy Fox
У меня была ситуация, когда Cloudflare выдавал ошибку DNS в корне сайта, но в директориях всё было красиво
ну это отличается от закрытого порта для /
источник
13:40пожаловаться#12

VP

Vladimir 0D0A Polyakov\x00 in WebPwnChat
допустим у вас есть список компонентов, которые вы используете в какой-то системе, и вы хотите мониторить появившиеся там уязвимости. Есть сейчас что-то годное кроме вулнерс?
источник
14:29пожаловаться#13

VS

Valeriy Shevchenko in WebPwnChat
https://snyk.io/  - не ?
источник
14:29пожаловаться#14

VP

Vladimir 0D0A Polyakov\x00 in WebPwnChat
Valeriy Shevchenko
https://snyk.io/  - не ?
оно позволяет автоматизацию?
источник
14:30пожаловаться#15

VS

Valeriy Shevchenko in WebPwnChat
она вроде как раз про это и про ci
источник
14:30пожаловаться#16

M

Mandel Ivanovich in WebPwnChat
Да они вроде по твоим репам ходят и палят cve в либах
источник
14:36пожаловаться#17

VP

Vladimir 0D0A Polyakov\x00 in WebPwnChat
у меня немножко другой воркфлоу, приходит список компонентов, и надо смотреть по нему.
Причем чисто либы в коде мониторятся уже в пайплайне, и тут все покрыто более-менее.
А вот заавтоматизировать надо нечто вроде: так, у нас тут апач такой то версии, для него вышла свежая CVE, надо патч
источник
14:42пожаловаться#18

A

Anton in WebPwnChat
snyk умеет, вопрос его цены и вашей инфы (кубы/железо и тп)
источник
14:50пожаловаться#19

A

Anton in WebPwnChat
или jfrog x-ray
источник
14:51пожаловаться#20