secu.si

Site personnel de Jean GEBAROWSKI sur la sécurité des systèmes informatiques

Aller au contenu

SSRF

Date	Auteur/auteure	Catégories
04/11/2019	Janiko	Non classé

Laisser un commentaire

Vulnérabilité serveur à serveur permettant d’exécuter du script sur un serveur tiers alors qu’on ne devrait pas avoir le droit.

Quelques metadatas

Scaleway : http://169.254.42.42/conf
AWS : http://169.254.169.254/latest/meta-data/
GCP : http://169.254.169.254/ (voir ici)
Azure : curl -H Metadata:true « http://169.254.169.254/metadata/instance »

Sources

https://www.hackerone.com/blog-How-To-Server-Side-Request-Forgery-SSRF
https://github.com/jobertabma/ground-control

Cette entrée a été publiée dans Non classé le 04/11/2019 par Janiko.

Navigation des articles

← 2020 L’avenir du mot de passe →

Laisser un commentaire Annuler la réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Commentaire *

Nom *

E-mail *

Site web

Enregistrer mon nom, mon e-mail et mon site dans le navigateur pour mon prochain commentaire.

Δ

Derniers articles

Colored Teams07/10/2024
Lois acronymes02/10/2024
VLAN25/09/2024
La rap de la sécurité20/09/2024
Contrôles et sécurisation du cloud19/09/2024

Catégories

A retravailler (27)
Analyses (22)
- Législation (7)
- Tendances (8)
Articles courts (16)
Attaques (77)
- Actualités (17)
- Cyberguerre (10)
- Failles (2)
- Incidents (2)
- Menaces (12)
- Ransomware (5)
- Références (9)
- Vulnérabilités (21)
  - Vuln. avec site web dédié (4)
Blog (10)
- Humeurs (1)
Concepts (118)
- Authentification (12)
  - Active Directory (2)
- Autres notions (2)
- Biométrie (5)
- Cloud (7)
- Confidentialité (8)
- Cryptographie. Chiffrement (24)
- Organisations (3)
- Principes généraux (17)
- Réseaux (4)
- Vie privée (15)
- Vocabulaire (6)
Développement (3)
- Langages de programmation (3)
Ebauches (13)
Enigmes (8)
- Blagues (3)
- Mythes (3)
GPT (2)
Non classé (16)
Obsolètes (1)
Publications (3)
Réflexions (7)
- CISSP (3)
- Fiche de lecture (1)
Sécurisation (68)
- AWS (2)
- Bonnes pratiques (11)
- Détection d'intrusion (2)
- HOW-TO (10)
  - Sauvegardes (4)
- Machines virtuelles (2)
- Outils (23)
- Serveur web (10)
- Trucs et astuces (7)
  - Astuces d'admin (3)

Nuage d'étiquettes

accès à distance amd android big data bitcoin bloomberg configuration coronavirus covid-19 crise cryptographie cryptsetup cts CVE CVE-2021-45046 CVE CVE-2021-45105 cyberguerre déploiement continu facebook fake news fireeye fuite de données intel intelligence artificielle intégration continue iot javascript keepass mail meltdown messagerie instantanée messenger microsoft mongodb mot de passe navigateur new york times nft nsa olvid orion owasp PCA phishing polices de caractères preuve de travail prospective python périmètre ransomware rap raspberry rcs rgpd risque robots rtf réseau s3 sans-fil script malveillant session sgx shadow brokers shell signal smartphone sms solarwinds solutionnisme spam spectre spoiler ssl sunburst supernova supply chain telegram tls trigger truecrypt trump télétravail union européenne usb usb killer user utilisateur vecteur attaque ver vie privée virus vodafone vol de session web 3.0 whatsapp XSS xss permanente XSS réfléchi zerofont zero trust

Archives

2024
2023
2022
2021
2020
2019
2018
2017
2015

Rechercher

Fièrement propulsé par WordPress