[sizer=4]
SSRF давно перестал быть багом из учебных лабораторок, где сервер просто идёт на localhost. В современных API он прячется в webhook'ах, PDF-рендерах, загрузке SVG/XML, импорте по ссылке и любых функциях, где приложение само ходит по сети от имени пользователя.
В статье разберём, почему в облаке такой дефект быстро становится намного тяжелее: metadata endpoints, IAM-credentials, attached identity, IMDSv2, Metadata-Flavor...SSRF (Server-Side Request Forgery) в 2026: Эксплуатация и обход фильтров в современных API
Источник: codeby.net