Да, и секонд хенд ссрф бывает
Где почитать про это? Я встречал только second order sql, гугл по second order SSRF ничего не выдал
second order - это вроде когда ссрфка срабатывает не сразу, а спустя время, по какому-то событию. https://twitter.com/infosec_au/status/1406750474783518721?t=9KTjjTBqyKervX9Hrr2leQ&s=19 Но это непопулярный тип ссрф, и название появилось уже после появления всяких second-order idor или инъекций, из-за того что можно было и ссрф так назвать для некоторых сценариев. чаще всего основая идея second order в отложенном срабатывании
Spasibo, так и думал
У гитлаба был репорт с похожим поведением, где подгружалась репа извне с особым конфигом, и он триггерил ссрф при каком-то действии внутри репы
А как работает тогда second order idor?
https://ozguralp.medium.com/a-less-known-attack-vector-second-order-idor-attacks-14468009781a
Обсуждают сегодня