Уязвимости на стороне сервера

Уязвимости на стороне сервера

Когда сервер доверяет пользовательскому вводу слишком сильно — это почти всегда плохо заканчивается. Ошибки на стороне сервера открывают дорогу к утечкам данных, выполнению произвольного кода и даже полному захвату системы. В этом модуле ты разберёшь самые опасные серверные уязвимости — SSRF, SSTI, SSI и XSLT — и научишься находить их на практике.

Уязвимости на стороне сервера

Описание модуля:

Серверная часть — это сердце любого веб-приложения. Именно здесь хранятся данные, логика и самые ценные ресурсы. Но стоит допустить ошибку в обработке пользовательского ввода — и сервер превращается в точку входа для атакующего.

В этом модуле ты шаг за шагом освоишь поиск и эксплуатацию уязвимостей, связанных с серверной стороной приложений. Мы не ограничимся теорией — почти каждый урок снабжён практическим стендом, чтобы ты сам смог воспроизвести атаку и увидеть последствия.

Ты изучишь:

? SSRF (Server-Side Request Forgery) — как заставить сервер обращаться к внутренним сервисам, обходить фильтры и вытягивать данные из закрытых сетей.

⚙️ SSTI (Server-Side Template Injection) — что бывает, когда шаблонизатор «слишком доверяет» данным пользователя, и как это превращается в выполнение кода на сервере.

? SSI (Server-Side Includes) — казалось бы, устаревшая технология, но до сих пор встречающаяся в реальных приложениях. Ты увидишь, как простая инъекция может дать полный доступ к командам ОС.

? XSLT Injection — менее известная, но крайне опасная уязвимость, связанная с трансформацией XML-документов. Научишься использовать её для извлечения и модификации данных.

? И конечно, разберём методы защиты: фильтрацию, изоляцию окружений, безопасные настройки шаблонных движков и правильную обработку пользовательского ввода.

 

? Кому будет полезен модуль

  • Пентестерам и багбаунти-хантерам — для освоения реальных техник эксплуатации серверных уязвимостей.

  • Разработчикам и тимлидам — чтобы понимать, какие ошибки в коде приводят к катастрофам.

  • Специалистам по ИБ — для анализа и предотвращения атак на уровне серверной логики.

 

? В модуле — 9 практических стендов из 18 уроков.
Мы сделали акцент на практике там, где это критично: SSRF, SSTI, SSI и XSLT ты прорабатываешь своими руками.
Теория же даётся там, где важно сначала понять механику уязвимости, её контекст и способы защиты.

Такой баланс делает модуль удобным: ты получаешь практику на всех ключевых техниках, но при этом не теряешь целостную картину.